HOS1.

4 配置手册（B）
本手册适用于 FlexHammer5010、μHammer3550-24、μHammer3550D-24 和
μHammer3550-48
HOS1.4 配置手册（B）

资料编号 P-18080009-20040628-140
产品版本 V01R04B11
资料状态 发行

版权声明
© 港湾网络有限公司版权所有，并保留对本手册及本声明的最终解释权和修改权。
本手册的版权归港湾网络有限公司所有。未得到港湾网络有限公司的书面许可，任何人不得以任
何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将
其全部或部分用于商业用途。

免责声明
本手册依据现有信息制作，其内容如有更改，恕不另行通知。港湾网络有限公司在编写该手册的
时候已尽最大努力保证其内容准确可靠，但港湾网络有限公司不对本手册中的遗漏、不准确或错
误导致的损失和损害承担责任。

Users’ Manual Copyright and Disclaimer

Copyright
© Copyright Harbour Networks Limited. All rights reserved.
The copyright of this document is owned by Harbour Networks Limited. Without the prior
written permission obtained from Harbour Networks Limited, this document shall not be
reproduced and excerpted in any form or by any means, stored in a retrieval system,
modified, distributed and translated into other languages, applied for a commercial purpose in
whole or in part.

Disclaimer
This document and the information contained herein is provided on an "AS IS" basis. Harbour
Networks Limited may make improvement or changes in this document, at any time and
without notice and as it sees fit. The information in this document was prepared by Harbour
Networks Limited with reasonable care and is believed to be accurate. However, Harbour
Networks Limited shall not assume responsibility for losses or damages resulting from any
omissions, inaccuracies, or errors contained herein.
手册使用说明

读者对象
本手册适用于配置和管理基于 HammerOS（简称 HOS）1.4 的 Hammer 系列交
换机的系统管理员。

内容介绍
本手册对 HOS 1.4 的各功能模块的配置方法和相关命令做了详尽的介绍，同时，
还就系统的一些缺省配置加以说明。

本手册包括如下内容：

章序号 题目 内容描述
第1章 系统管理 介绍了系统管理的方法和相关命令。
第2章 系统监控与诊断 介绍了系统监控与诊断的方法和相关命令。
第3章 配置SNTP 介绍了SNTP协议的配置方法和相关命令。
第4章 日志管理 介绍了日志管理的配置方法和相关命令。
第5章 配置NMS 介绍了NMS协议的配置方法和相关命令。
第6章 配置SNMP 介绍了SNMP协议的配置方法和相关命令。
第7章 配置端口 介绍了端口的配置方法和相关命令。
第8章 配置FDB 介绍了FDB协议的配置方法和相关命令。
第9章 配置VLAN 介绍了VLAN协议的配置方法和相关命令。
第10章 配置STP/RSTP 介绍了STP/RSTP协议的配置方法和相关命令。
第11章 配置IGMP Snooping 介绍了IGMP Snooping的配置方法和相关命令。
第12章 配置ARP 介绍了ARP协议的配置方法和相关命令。
第13章 配置DHCP Relay 介绍了DHCP Relay协议的配置方法和相关命令。
第14章 单播路由基本配置 介绍了路由接口和单播路由的基本配置方法和相
关命令。
第15章 配置RIP 介绍了RIP路由协议的配置方法和相关命令。
第16章 配置OSPF 介绍了OSPF路由协议的配置方法和相关命令。
第17章 配置路由策略 介绍了路由策略的配置方法和相关命令。
第18章 配置组播路由协议 介绍了组播路由协议的配置方法和相关命令。
第19章 配置QoS 介绍了QoS的配置方法和相关命令。
第20章 配置ACL 介绍了ACL的配置方法和相关命令。
第21章 配置带宽限制 介绍了带宽限制的配置方法和相关命令。
第22章 配置802.1x 介绍了802.1x接入的配置方法和相关命令。
第23章 配置RADIUS 介绍了RADIUS协议的配置方法和相关命令。
第24章 配置VRRP 介绍了VRRP协议的配置方法和相关命令。
 第25章 配置虚拟堆叠 介绍了虚拟堆叠的配置方法和相关命令。
第26章 配置芯片复位 介绍了芯片复位的配置方法和相关命令。

有关 H.Link 的配置方法请参考《H.Link 用户配置手册》。

提示

手册约定
手册中有关图标的约定如下：

图标 说明

这个图标表示提醒用户注意事项。
注意
这个图标主要给出一些与正文相关的信息，同时给用户一些指引，协
助用户更好的理解正文的内容。
提示

获取技术支援
港湾网络有限公司建立了以总部技术支援中心、区域技术支援中心和本地技术支
援中心为主体的完善的三级服务体系，并提供全天候 24 小时×365 天的电话热线
服务。客户在产品使用及网络运行过程中遇到问题时请随时与港湾网络有限公司
各地方的服务支持热线联系。请客户到www.harbournetworks.com获取各地服务
支持热线电话。此外，客户还可通过港湾网络有限公司网站及时了解最新产品动
态，以及下载需要的技术文档。
目录
第 1 章 系统管理................................................................................................................................... 1-1
1.1 管理交换机的途径 ................................................................................................................. 1-1
1.1.1 使用 Console 口连接到交换机.................................................................................. 1-1
1.1.2 使用 Telnet 管理交换机 ............................................................................................. 1-3
1.1.3 管理 Telnet 服务 ......................................................................................................... 1-4
1.2 基本管理信息 ......................................................................................................................... 1-4
1.2.1 常用命令 ...................................................................................................................... 1-4
1.2.2 用户管理 ...................................................................................................................... 1-5
1.2.3 显示版本信息 .............................................................................................................. 1-6
1.2.4 设置终端每屏显示信息的行数 .................................................................................. 1-7
1.2.5 显示设备当前的各种服务状态 .................................................................................. 1-7
1.2.6 设置交换机的名称 ...................................................................................................... 1-7
1.2.7 设置和查看空闲等待时间 .......................................................................................... 1-7
1.2.8 查看当前系统的配置情况 .......................................................................................... 1-8
1.2.9 查看已经保存的系统配置文件 .................................................................................. 1-9
1.2.10 保存当前配置文件 .................................................................................................. 1-10
1.2.11 删除所有已经保存的配置信息 .............................................................................. 1-11
1.2.12 显示连接到交换机的用户信息 .............................................................................. 1-11
1.2.13 强制关闭特定的用户连接 ...................................................................................... 1-12
1.2.14 查看接口状态 .......................................................................................................... 1-12
1.3 时区、时间 ........................................................................................................................... 1-12
1.4 存取配置文件及升级 HammerOS ..................................................................................... 1-13
1.4.1 通过 FTP 协议下载配置文件或 HammerOS ......................................................... 1-13
1.4.2 通过使用 Xmodem 协议下载配置文件或 HammerOS ........................................ 1-14
1.4.3 通过 FTP 协议上传配置文件或 HammerOS ......................................................... 1-16
1.4.4 通过使用 Xmodem 协议上传配置文件或 HammerOS ........................................ 1-17
1.5 重启交换机 ........................................................................................................................... 1-19
1.5.1 重新加电 .................................................................................................................... 1-20
1.5.2 重新启动整机 ............................................................................................................ 1-20
1.6 命令参考 ............................................................................................................................... 1-20
1.6.1 clear ............................................................................................................................ 1-20

1
 1.6.2 config sysname.......................................................................................................... 1-20
1.6.3 config timezone......................................................................................................... 1-21
1.6.4 download ftp............................................................................................................. 1-21
1.6.5 download xmodem .................................................................................................. 1-22
1.6.6 enable ......................................................................................................................... 1-22
1.6.7 erase startup-config .................................................................................................. 1-23
1.6.8 exit .............................................................................................................................. 1-23
1.6.9 help ............................................................................................................................. 1-24
1.6.10 hostname.................................................................................................................. 1-24
1.6.11 idle-timeout ............................................................................................................. 1-24
1.6.12 list.............................................................................................................................. 1-25
1.6.13 quit / logout ............................................................................................................ 1-25
1.6.14 reboot........................................................................................................................ 1-25
1.6.15 save configuration .................................................................................................. 1-26
1.6.16 service telnet............................................................................................................ 1-26
1.6.17 show history ............................................................................................................ 1-27
1.6.18 show running-config.............................................................................................. 1-27
1.6.19 show services .......................................................................................................... 1-27
1.6.20 show startup-config................................................................................................ 1-28
1.6.21 show sysname ......................................................................................................... 1-28
1.6.22 show tech-support.................................................................................................. 1-28
1.6.23 show version ........................................................................................................... 1-29
1.6.24 terminal length........................................................................................................ 1-30
1.6.25 upload ftp ................................................................................................................ 1-30
1.6.26 upload xmodem...................................................................................................... 1-31
1.6.27 user add ................................................................................................................... 1-31
1.6.28 user delete................................................................................................................ 1-32
1.6.29 user role admin ....................................................................................................... 1-32
1.6.30 user role normal...................................................................................................... 1-33
1.6.31 who ........................................................................................................................... 1-33
第 2 章 系统监控与诊断....................................................................................................................... 2-1
2.1 ping .......................................................................................................................................... 2-1
2.2 Ping Tracking ......................................................................................................................... 2-2
2.3 traceroute ................................................................................................................................ 2-3

2
 2.4 系统资源利用率 ..................................................................................................................... 2-4
2.4.1 查看 CPU 利用率........................................................................................................ 2-4
2.4.2 显示内存状况 .............................................................................................................. 2-4
2.4.3 显示从上次重启交换机到现在的时间间隔 .............................................................. 2-4
2.5 常用调试命令 ......................................................................................................................... 2-5
2.6 命令参考 ................................................................................................................................. 2-5
2.6.1 clear pingtrack statics................................................................................................. 2-5
2.6.2 config systrace............................................................................................................. 2-6
2.6.3 config tracert_mode.................................................................................................... 2-6
2.6.4 create pingtrack........................................................................................................... 2-6
2.6.5 debug all ...................................................................................................................... 2-7
2.6.6 debug ip packet........................................................................................................... 2-7
2.6.7 debug packet ............................................................................................................... 2-8
2.6.8 delete pingtrack .......................................................................................................... 2-8
2.6.9 ping............................................................................................................................... 2-9
2.6.10 show age .................................................................................................................... 2-9
2.6.11 show cpu usage....................................................................................................... 2-10
2.6.12 show debug all ........................................................................................................ 2-10
2.6.13 show debug packet................................................................................................. 2-10
2.6.14 show exception ....................................................................................................... 2-10
2.6.15 show memory status .............................................................................................. 2-11
2.6.16 show pingtrack........................................................................................................ 2-11
2.6.17 show sysmem.......................................................................................................... 2-11
2.6.18 show systrace .......................................................................................................... 2-12
2.6.19 show systrace history ............................................................................................. 2-12
2.6.20 traceroute ................................................................................................................. 2-13
第 3 章 配置 SNTP............................................................................................................................... 3-1
3.1 概述 ......................................................................................................................................... 3-1
3.2 配置 SNTP .............................................................................................................................. 3-1
3.2.1 配置 SNTP 客户端...................................................................................................... 3-1
3.2.2 配置 SNTP 服务器...................................................................................................... 3-2
3.3 配置案例 ................................................................................................................................. 3-2
3.3.1 配置 SNTP................................................................................................................... 3-2
3.4 常用调试功能 ......................................................................................................................... 3-3

3
 3.4.1 debug sntp ................................................................................................................... 3-3
3.5 命令参考 ................................................................................................................................. 3-4
3.5.1 cofig [sntp-client | sntp-server] mode..................................................................... 3-4
3.5.2 config sntp-client [enable|disable] .......................................................................... 3-4
3.5.3 config sntp-server [enable|disable] ......................................................................... 3-5
3.5.4 config sntp-server broadcast-interval ...................................................................... 3-6
3.5.5 config sntp-client server ipaddr................................................................................ 3-6
3.5.6 config sntp-client update-interval ............................................................................ 3-7
3.5.7 debug sntp ................................................................................................................... 3-7
3.5.8 no sntp-client mode.................................................................................................... 3-7
3.5.9 no sntp-client update-interval................................................................................... 3-8
3.5.10 no sntp-server broadcast-interval........................................................................... 3-8
3.5.11 no sntp-server mode................................................................................................. 3-8
3.5.12 show debug sntp....................................................................................................... 3-9
3.5.13 show sntp-client........................................................................................................ 3-9
3.5.14 show sntp-server..................................................................................................... 3-10
第 4 章 日志管理................................................................................................................................... 4-1
4.1 概述 ......................................................................................................................................... 4-1
4.2 配置日志管理 ......................................................................................................................... 4-1
4.2.1 日志功能基本配置 ...................................................................................................... 4-1
4.2.2 配置日志信息存储方式 .............................................................................................. 4-1
4.2.3 配置日志信息的显示方式 .......................................................................................... 4-2
4.2.4 查看日志管理的配置情况 .......................................................................................... 4-2
4.3 命令参考 ................................................................................................................................. 4-2
4.3.1 config syslog [add|delete] server............................................................................. 4-2
4.3.2 config syslog [enable|disable].................................................................................. 4-3
4.3.3 config syslog lowest-level.......................................................................................... 4-3
4.3.4 config syslog memory-record ................................................................................... 4-4
4.3.5 config syslog monitor-terminal ................................................................................ 4-4
4.3.6 config syslog server .................................................................................................... 4-4
4.3.7 config syslog type ....................................................................................................... 4-5
4.3.8 config virtual ipaddress ............................................................................................. 4-5
4.3.9 monitor [on|off] ......................................................................................................... 4-6
4.3.10 monitor lowest-level................................................................................................. 4-6

4
 4.3.11 monitor timestamp ................................................................................................... 4-7
4.3.12 monitor type.............................................................................................................. 4-7
4.3.13 record command-line ............................................................................................... 4-8
4.3.14 record valid-access ................................................................................................... 4-8
4.3.15 show monitor configuration ................................................................................... 4-9
4.3.16 show syslog ............................................................................................................... 4-9
4.3.17 show syslog configuration....................................................................................... 4-9
4.3.18 show syslog history................................................................................................ 4-10
第 5 章 配置 NMS................................................................................................................................ 5-1
5.1 概述 ......................................................................................................................................... 5-1
5.2 配置 NMS ............................................................................................................................... 5-1
5.2.1 配置 NMS 访问控制组 ............................................................................................... 5-1
5.3 配置案例 ................................................................................................................................. 5-2
5.4 命令参考 ................................................................................................................................. 5-3
5.4.1 config access-control .................................................................................................. 5-3
5.4.2 config nms-access-profile add ipaddress ................................................................ 5-3
5.4.3 config nms-access-profile delete ipaddress............................................................. 5-4
5.4.4 config nms-access-profile snmp ............................................................................... 5-5
5.4.5 config nms-access-profile telnet................................................................................ 5-5
5.4.6 create nms-access-profile........................................................................................... 5-6
5.4.7 delete nms-access-profile........................................................................................... 5-6
5.4.8 show access-control.................................................................................................... 5-6
5.4.9 show nms-access-profile............................................................................................ 5-7
第 6 章 配置 SNMP ............................................................................................................................. 6-1
6.1 概述 ......................................................................................................................................... 6-1
6.1.1 SNMP 概述 .................................................................................................................. 6-1
6.1.2 RMON 概述 ................................................................................................................. 6-2
6.2 命令参考 ................................................................................................................................. 6-2
6.2.1 config snmp community............................................................................................ 6-2
6.2.2 config snmp rmon ...................................................................................................... 6-3
6.2.3 config snmp trapreceiver........................................................................................... 6-3
6.2.4 service snmp................................................................................................................ 6-4
6.2.5 service snmp trap........................................................................................................ 6-5
6.2.6 service snmp trap [hlink|spanning-tree] ................................................................ 6-5

5
 6.2.7 show snmp community-string.................................................................................. 6-6
6.2.8 show snmp trap status ............................................................................................... 6-6
6.2.9 show snmp trapreceiver ............................................................................................ 6-6
6.2.10 snmp set port ifspeed ............................................................................................... 6-7
6.2.11 snmp show port ifspeed .......................................................................................... 6-7
第 7 章 配置端口................................................................................................................................... 7-1
7.1 配置端口 ................................................................................................................................. 7-1
7.1.1 配置端口基本参数 ...................................................................................................... 7-1
7.1.2 配置案例 ...................................................................................................................... 7-1
7.2 配置端口镜像 ......................................................................................................................... 7-2
7.2.1 概述.............................................................................................................................. 7-2
7.2.2 配置案例 ...................................................................................................................... 7-2
7.3 配置安全端口 ......................................................................................................................... 7-3
7.3.1 概述.............................................................................................................................. 7-3
7.3.2 配置案例 ...................................................................................................................... 7-3
7.4 配置 Load Sharing................................................................................................................. 7-4
7.4.1 概述.............................................................................................................................. 7-4
7.4.2 Load Sharing 配置规则 .............................................................................................. 7-5
7.4.3 配置案例 ...................................................................................................................... 7-5
7.5 下行环路检测 ......................................................................................................................... 7-6
7.5.1 概述.............................................................................................................................. 7-6
7.5.2 配置案例 ...................................................................................................................... 7-7
7.6 广播包抑制 ............................................................................................................................. 7-8
7.6.1 配置案例 ...................................................................................................................... 7-8
7.7 端口组播智能抑制 ................................................................................................................. 7-8
7.8 端口监视 ................................................................................................................................. 7-9
7.8.1 端口监视镜像 .............................................................................................................. 7-9
7.8.2 端口监视抑制 .............................................................................................................. 7-9
7.9 命令参考 ............................................................................................................................... 7-10
7.9.1 config broadcast_limit.............................................................................................. 7-10
7.9.2 config broadcast_limit [enable|disable]................................................................ 7-10
7.9.3 config loopdetect ...................................................................................................... 7-11
7.9.4 config macgroup ....................................................................................................... 7-11
7.9.5 config mirroring........................................................................................................ 7-12

6
7.9.6 config mirroring [add|delete] port........................................................................ 7-12
7.9.7 config multicast limit ............................................................................................... 7-13
7.9.8 config multicast limit [enable|disable] ................................................................. 7-13
7.9.9 config multicast limit sample.................................................................................. 7-14
7.9.10 config multicast limit snmp-trap disable-port drop-packet ............................. 7-14
7.9.11 config port................................................................................................................ 7-14
7.9.12 config port [add|delete] vlan ............................................................................... 7-15
7.9.13 config port [normal|secure].................................................................................. 7-15
7.9.14 config port auto....................................................................................................... 7-16
7.9.15 config port bpdu ..................................................................................................... 7-16
7.9.16 config port description........................................................................................... 7-17
7.9.17 config port duplex .................................................................................................. 7-18
7.9.18 config port flowcontrol .......................................................................................... 7-18
7.9.19 config port flowrate................................................................................................ 7-19
7.9.20 config port learn...................................................................................................... 7-19
7.9.21 config port mode..................................................................................................... 7-20
7.9.22 config port secure [add|delete] macgroup......................................................... 7-20
7.9.23 config port secure [permit|deny]......................................................................... 7-21
7.9.24 config port speed .................................................................................................... 7-21
7.9.25 config port snmp trap ............................................................................................ 7-22
7.9.26 config port-monitor add port all........................................................................... 7-22
7.9.27 config port-monitor add port bcast...................................................................... 7-23
7.9.28 config port-monitor delete port ............................................................................ 7-23
7.9.29 config port-monitor mirror.................................................................................... 7-24
7.9.30 config port-monitor restrain.................................................................................. 7-24
7.9.31 config sharing.......................................................................................................... 7-25
7.9.32 create macgroup ..................................................................................................... 7-25
7.9.33 create sharing .......................................................................................................... 7-26
7.9.34 delete macgroup ..................................................................................................... 7-26
7.9.35 delete sharing .......................................................................................................... 7-26
7.9.36 loopback port .......................................................................................................... 7-27
7.9.37 show broadcast_limit ............................................................................................. 7-27
7.9.38 show linkinfo........................................................................................................... 7-28
7.9.39 show macgroup ...................................................................................................... 7-28

7
 7.9.40 show mirroring ....................................................................................................... 7-29
7.9.41 show perport ........................................................................................................... 7-29
7.9.42 show port ................................................................................................................. 7-29
7.9.43 show port snmp trap.............................................................................................. 7-30
7.9.44 show port-monitor states....................................................................................... 7-30
7.9.45 show sharing ........................................................................................................... 7-31
第 8 章 配置 FDB ................................................................................................................................. 8-1
8.1 概述 ......................................................................................................................................... 8-1
8.2 配置 FDB ................................................................................................................................ 8-2
8.2.1 缺省配置信息 .............................................................................................................. 8-2
8.2.2 配置静态 FDB ............................................................................................................. 8-3
8.2.3 MAC 地址绑定 ............................................................................................................ 8-3
8.2.4 配置老化时间 .............................................................................................................. 8-4
8.2.5 配置静态组播 FDB ..................................................................................................... 8-4
8.3 命令参考 ................................................................................................................................. 8-4
8.3.1 config fdb agingtime .................................................................................................. 8-4
8.3.2 create fdbentry ............................................................................................................ 8-5
8.3.3 create mfdb mac.......................................................................................................... 8-5
8.3.4 delete fdbentry ............................................................................................................ 8-6
8.3.5 delete mfdb mac.......................................................................................................... 8-6
8.3.6 show fdb ...................................................................................................................... 8-7
8.3.7 show fdb permanent .................................................................................................. 8-7
8.3.8 show fdb summary..................................................................................................... 8-8
8.3.9 show mfdb................................................................................................................... 8-8
第 9 章 配置 VLAN.............................................................................................................................. 9-1
9.1 VLAN 概述 ............................................................................................................................. 9-1
9.1.1 VLAN 的分类 .............................................................................................................. 9-1
9.1.2 配置 VLAN 的有关规则 ............................................................................................ 9-4
9.2 配置 VLAN............................................................................................................................. 9-5
9.2.1 配置步骤 ...................................................................................................................... 9-5
9.2.2 配置案例 ...................................................................................................................... 9-5
9.3 VLAN 端口隔离...................................................................................................................... 9-6
9.3.1 概述.............................................................................................................................. 9-6
9.3.2 配置案例 ...................................................................................................................... 9-6

8
 9.4 配置 VLAN 子接口................................................................................................................ 9-7
9.4.1 概述.............................................................................................................................. 9-7
9.4.2 配置案例 ...................................................................................................................... 9-7
9.5 配置 Super VLAN ................................................................................................................. 9-8
9.6 配置 Proxy ARP..................................................................................................................... 9-9
9.7 配置 Local Proxy ARP ........................................................................................................ 9-10
9.8 配置扩展 ARP 代理和直连路由 ......................................................................................... 9-11
9.9 命令参考 ............................................................................................................................... 9-13
9.9.1 config ext-proxy-arp................................................................................................. 9-13
9.9.2 config local-proxy-arp.............................................................................................. 9-13
9.9.3 config proxyarp......................................................................................................... 9-14
9.9.4 config proxyarp agetime.......................................................................................... 9-14
9.9.5 config proxyarp delete ............................................................................................. 9-15
9.9.6 config proxyarp searchtime..................................................................................... 9-15
9.9.7 config sub-interface ipaddress ................................................................................ 9-16
9.9.8 config vlan [add|delete] port ................................................................................. 9-16
9.9.9 config vlan [add|delete] subvlan........................................................................... 9-17
9.9.10 config vlan ipaddress ............................................................................................. 9-17
9.9.11 config vlan uplink_port ......................................................................................... 9-18
9.9.12 create sub-interface vlan ........................................................................................ 9-18
9.9.13 create vlan................................................................................................................ 9-19
9.9.14 delete sub-interface vlan........................................................................................ 9-19
9.9.15 delete vlan................................................................................................................ 9-20
9.9.16 ip route <A.B.C.D/M> <interface_name> .......................................................... 9-20
9.9.17 no sub-interface ipaddress .................................................................................... 9-21
9.9.18 no vlan ip ................................................................................................................. 9-21
9.9.19 no vlan uplink_port................................................................................................ 9-21
9.9.20 show ext-proxy-arp ................................................................................................ 9-22
9.9.21 show local-proxy-arp ............................................................................................. 9-22
9.9.22 show proxyarp ........................................................................................................ 9-23
9.9.23 show proxyarp table............................................................................................... 9-23
9.9.24 show sub-interface.................................................................................................. 9-24
9.9.25 show vlan................................................................................................................. 9-24
第 10 章 配置 STP/RSTP................................................................................................................... 10-1

9
 10.1 概述 ..................................................................................................................................... 10-1
10.2 设置 STP 模式 .................................................................................................................... 10-1
10.3 配置 STP ............................................................................................................................. 10-1
10.3.1 创建或删除 STP ...................................................................................................... 10-2
10.3.2 使能或关闭 STP ...................................................................................................... 10-2
10.3.3 使能或关闭指定 STP 的端口 ................................................................................. 10-2
10.3.4 配置 STP 的参数 ..................................................................................................... 10-2
10.3.5 显示 STP 状态 ......................................................................................................... 10-3
10.4 配置 RSTP........................................................................................................................... 10-3
10.4.1 使能或者关闭 RSTP ............................................................................................... 10-3
10.4.2 使能或者关闭端口的 RSTP 功能........................................................................... 10-3
10.4.3 配置 RSTP 参数 ...................................................................................................... 10-3
10.4.4 显示 RSTP 状态 ...................................................................................................... 10-4
10.5 常用调试功能 ..................................................................................................................... 10-5
10.5.1 debug stpd ............................................................................................................... 10-5
10.5.2 debug spanning-tree .............................................................................................. 10-5
10.6 命令参考 ............................................................................................................................. 10-6
10.6.1 config spanning-tree............................................................................................... 10-6
10.6.2 config spanning-tree [force-version].................................................................... 10-6
10.6.3 config spanning-tree forward-delay .................................................................... 10-7
10.6.4 config spanning-tree hello-time............................................................................ 10-7
10.6.5 config spanning-tree maximum-age .................................................................... 10-7
10.6.6 config spanning-tree mode.................................................................................... 10-8
10.6.7 config spanning-tree port ...................................................................................... 10-8
10.6.8 config spanning-tree port [edge] .......................................................................... 10-9
10.6.9 config spanning-tree port [mcheck] [yes]............................................................ 10-9
10.6.10 config spanning-tree port p2p ............................................................................ 10-9
10.6.11 config spanning-tree port [path-cost] .............................................................. 10-10
10.6.12 config spanning-tree port priority.................................................................... 10-10
10.6.13 config spanning-tree priority ............................................................................ 10-11
10.6.14 config stpd ........................................................................................................... 10-11
10.6.15 config stpd forwarddelay .................................................................................. 10-12
10.6.16 config stpd hellotime.......................................................................................... 10-12
10.6.17 config stpd maxage............................................................................................. 10-13

10
 10.6.18 config stpd priority............................................................................................. 10-13
10.6.19 config stpd vlan .................................................................................................. 10-13
10.6.20 config stpd default hellotime ............................................................................ 10-14
10.6.21 config stpd port................................................................................................... 10-14
10.6.22 config stpd port cost........................................................................................... 10-14
10.6.23 config stpd port priority .................................................................................... 10-15
10.6.24 create stpd............................................................................................................ 10-15
10.6.25 debug spanning-tree .......................................................................................... 10-16
10.6.26 debug stpd ........................................................................................................... 10-16
10.6.27 delete stpd ........................................................................................................... 10-16
10.6.28 show debug stpd ................................................................................................ 10-17
10.6.29 show spanning-tree ............................................................................................ 10-17
10.6.30 show spanning-tree port.................................................................................... 10-19
10.6.31 show stpd port .................................................................................................... 10-19
10.6.32 show stpd............................................................................................................. 10-20
第 11 章 配置 IGMP Snooping........................................................................................................ 11-1
11.1 配置 IGMP Snooping........................................................................................................ 11-1
11.1.1 启动或关闭 IGMP Snooping................................................................................. 11-1
11.1.2 IGMP Snooping 参数配置...................................................................................... 11-1
11.2 配置案例 ............................................................................................................................. 11-1
11.2.1 配置超时时间间隔 .................................................................................................. 11-1
11.3 命令参考 ............................................................................................................................. 11-2
11.3.1 clear igmp snooping vlan ...................................................................................... 11-2
11.3.2 config igmp snooping host_timeout .................................................................... 11-2
11.3.3 config igmp snooping router_timeout................................................................. 11-3
11.3.4 service igmp snooping ........................................................................................... 11-3
11.3.5 show igmp-snooping group.................................................................................. 11-3
11.3.6 show igmp-snooping summary............................................................................ 11-4
11.3.7 show igmp snooping vlan ..................................................................................... 11-4
第 12 章 配置 ARP ............................................................................................................................. 12-1
12.1 ARP 概述 ............................................................................................................................. 12-1
12.2 命令参考 ............................................................................................................................. 12-1
12.2.1 clear arp.................................................................................................................... 12-1
12.2.2 config arp ................................................................................................................. 12-1

11
 12.2.3 config arp agetime .................................................................................................. 12-2
12.2.4 config arp keep-alive.............................................................................................. 12-2
12.2.5 debug arp................................................................................................................. 12-3
12.2.6 show arp .................................................................................................................. 12-3
12.2.7 show arp agetime.................................................................................................... 12-4
12.2.8 show arp summary................................................................................................. 12-4
12.2.9 show arp user.......................................................................................................... 12-4
第 13 章 配置 DHCP Relay .............................................................................................................. 13-1
13.1 概述 ..................................................................................................................................... 13-1
13.1.1 DHCP ....................................................................................................................... 13-1
13.1.2 DHCP Relay ( DHCPR )......................................................................................... 13-1
13.2 配置案例 ............................................................................................................................. 13-2
13.3 命令参考 ............................................................................................................................. 13-2
13.3.1 config dhcpr listen .................................................................................................. 13-2
13.3.2 config dhcpr targetip.............................................................................................. 13-3
13.3.3 service dhcpr ........................................................................................................... 13-3
13.3.4 show dhcpr listen ................................................................................................... 13-4
13.3.5 show dhcpr status................................................................................................... 13-4
13.3.6 show dhcpr targetip ............................................................................................... 13-5
第 14 章 单播路由基本配置............................................................................................................... 14-1
14.1 概述 ..................................................................................................................................... 14-1
14.2 配置路由接口 ..................................................................................................................... 14-2
14.2.1 配置环回接口 .......................................................................................................... 14-2
14.3 单播路由基本配置 ............................................................................................................. 14-3
14.3.1 查看路由表 .............................................................................................................. 14-3
14.3.2 静态路由 .................................................................................................................. 14-4
14.3.3 默认路由 .................................................................................................................. 14-5
14.3.4 配置黑洞路由 .......................................................................................................... 14-5
14.4 命令参考 ............................................................................................................................. 14-6
14.4.1 [create|no] interfaces loopback ............................................................................ 14-6
14.4.2 clear ip route [<A.B.C.D/M>|all] ........................................................................ 14-6
14.4.3 clear ip route static ................................................................................................. 14-7
14.4.4 config interfaces loopback ipaddress................................................................... 14-7
14.4.5 config ip route blackhole timeout......................................................................... 14-8

12
 14.4.6 ip route ..................................................................................................................... 14-8
14.4.7 ip route <ifname> ................................................................................................... 14-9
14.4.8 ip route null ............................................................................................................. 14-9
14.4.9 show interfaces loopback..................................................................................... 14-10
14.4.10 show ip route....................................................................................................... 14-10
14.4.11 show ip route blackhole..................................................................................... 14-12
第 15 章 配置 RIP............................................................................................................................... 15-1
15.1 概述 ..................................................................................................................................... 15-1
15.2 配置 RIP.............................................................................................................................. 15-3
15.2.1 RIP 协议基本配置.................................................................................................... 15-3
15.2.2 配置 RIP 协议版本.................................................................................................. 15-4
15.2.3 设置端口的认证类型和密码 .................................................................................. 15-5
15.2.4 在端口上配置水平分割 .......................................................................................... 15-6
15.2.5 生成默认路由 .......................................................................................................... 15-6
15.2.6 配置协议的 Administrative Distance .................................................................. 15-7
15.2.7 配置协议时钟 .......................................................................................................... 15-7
15.2.8 重分布路由（redistribute）.................................................................................. 15-8
15.2.9 配置缺省 metric...................................................................................................... 15-8
15.3 常用调试功能 ..................................................................................................................... 15-9
15.3.1 debug rip rm............................................................................................................ 15-9
15.3.2 debug rip [events|packet]..................................................................................... 15-9
15.4 常见故障分析 ................................................................................................................... 15-10
15.4.1 RIP 协议无法正常收发报文 ................................................................................. 15-10
15.5 命令参考 ........................................................................................................................... 15-10
15.5.1 debug rip [events|packet]................................................................................... 15-10
15.5.2 debug rip rm.......................................................................................................... 15-11
15.5.3 default-metric........................................................................................................ 15-12
15.5.4 distribute-list ......................................................................................................... 15-12
15.5.5 ip rip authentication mode .................................................................................. 15-13
15.5.6 ip rip receive version............................................................................................ 15-13
15.5.7 ip rip send version................................................................................................ 15-14
15.5.8 ip rip split-horizon................................................................................................ 15-15
15.5.9 neighbor ................................................................................................................. 15-15
15.5.10 network ................................................................................................................ 15-16

13
 15.5.11 nexthop compatible-cisco .................................................................................. 15-17
15.5.12 offset-list............................................................................................................... 15-17
15.5.13 passive-interface ................................................................................................. 15-18
15.5.14 redistribute .......................................................................................................... 15-18
15.5.15 router rip.............................................................................................................. 15-19
15.5.16 show debug rip ................................................................................................... 15-19
15.5.17 show ip rip database .......................................................................................... 15-19
15.5.18 timers basic .......................................................................................................... 15-20
15.5.19 version.................................................................................................................. 15-20
第 16 章 配置 OSPF ........................................................................................................................... 16-1
16.1 概述 ..................................................................................................................................... 16-1
16.2 配置 OSPF .......................................................................................................................... 16-2
16.2.1 基本 OSPF 配置 ...................................................................................................... 16-2
16.2.2 设置接口参数 .......................................................................................................... 16-4
16.2.3 配置区域参数 .......................................................................................................... 16-5
16.2.4 配置路由聚合 .......................................................................................................... 16-9
16.2.5 配置虚拟链路 virtual link ................................................................................... 16-10
16.2.6 配置缺省路由 ........................................................................................................ 16-11
16.2.7 配置 OSPF 的管理距离 ........................................................................................ 16-12
16.2.8 配置路由计算的时间间隔 .................................................................................... 16-14
16.2.9 重分布和 route map 的配置................................................................................ 16-14
16.2.10 配置缺省 metric.................................................................................................. 16-16
16.2.11 监控和维护 OSPF ............................................................................................... 16-17
16.3 常见故障分析 ................................................................................................................... 16-19
16.3.1 OSPF 邻接关系没有建立 ....................................................................................... 16-19
16.4 命令参考 ........................................................................................................................... 16-20
16.4.1 area authentication ............................................................................................... 16-20
16.4.2 area default-cost.................................................................................................... 16-21
16.4.3 area range .............................................................................................................. 16-22
16.4.4 area stub................................................................................................................. 16-23
16.4.5 area virtual-link .................................................................................................... 16-23
16.4.6 auto-cost reference-bandwidth ........................................................................... 16-25
16.4.7 clear ip ospf neighbor........................................................................................... 16-26
16.4.8 compatible rfc1583................................................................................................ 16-27

14
16.4.9 debug ospf event................................................................................................... 16-27
16.4.10 debug ospf ism.................................................................................................... 16-27
16.4.11 debug ospf ism [status|events|timers]........................................................... 16-28
16.4.12 debug ospf lsa ..................................................................................................... 16-28
16.4.13 debug ospf lsa [generate|flooding|refresh]................................................... 16-28
16.4.14 debug ospf nsm................................................................................................... 16-29
16.4.15 debug ospf nsm [status|events|timers] ......................................................... 16-29
16.4.16 debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all] ................. 16-30
16.4.17 debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all] [send|recv]
[detail] ............................................................................................................................... 16-30
16.4.18 debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]
[send|recv|detail]........................................................................................................... 16-31
16.4.19 debug ospf rm ..................................................................................................... 16-32
16.4.20 debug ospf rm [interface|redistribute] ........................................................... 16-32
16.4.21 default-information originate ........................................................................... 16-32
16.4.22 default-metric...................................................................................................... 16-33
16.4.23 distance ................................................................................................................ 16-34
16.4.24 distance ospf........................................................................................................ 16-35
16.4.25 distribute-list ....................................................................................................... 16-35
16.4.26 ip ospf authentication-key................................................................................. 16-36
16.4.27 ip ospf cost........................................................................................................... 16-37
16.4.28 ip ospf dead-interval .......................................................................................... 16-37
16.4.29 ip ospf hello-interval .......................................................................................... 16-38
16.4.30 ip ospf message-digest-key ............................................................................... 16-38
16.4.31 ip ospf mtu-ignore .............................................................................................. 16-39
16.4.32 ip ospf network ................................................................................................... 16-39
16.4.33 ip ospf priority .................................................................................................... 16-40
16.4.34 ip ospf retransmit-interval................................................................................. 16-41
16.4.35 ip ospf transmit-delay ........................................................................................ 16-41
16.4.36 neighbor ............................................................................................................... 16-42
16.4.37 network area........................................................................................................ 16-43
16.4.38 passive-interface ................................................................................................. 16-43
16.4.39 redistribute .......................................................................................................... 16-44
16.4.40 router-id ............................................................................................................... 16-44

15
 16.4.41 router ospf ........................................................................................................... 16-45
16.4.42 show debug ospf................................................................................................. 16-45
16.4.43 show ip ospf ........................................................................................................ 16-46
16.4.44 show ip ospf border-routers.............................................................................. 16-46
16.4.45 show ip ospf database........................................................................................ 16-47
16.4.46 show ip ospf interface ........................................................................................ 16-48
16.4.47 show ip ospf neighbor........................................................................................ 16-48
16.4.48 show ip ospf request-list.................................................................................... 16-49
16.4.49 show ip ospf retransmission-list....................................................................... 16-49
16.4.50 show ip route summary..................................................................................... 16-50
16.4.51 show ip ospf virtual-links.................................................................................. 16-50
16.4.52 summary-address ............................................................................................... 16-50
16.4.53 timers lsa-group-pacing..................................................................................... 16-51
第 17 章 配置路由策略....................................................................................................................... 17-1
17.1 路由策略概述 ..................................................................................................................... 17-1
17.1.1 访问列表（access-list）......................................................................................... 17-1
17.1.2 前缀列表（prefix-list） ......................................................................................... 17-1
17.1.3 路由映像（routemap）......................................................................................... 17-2
17.2 配置路由策略 ..................................................................................................................... 17-2
17.2.1 配置路由策略的访问列表 ...................................................................................... 17-2
17.2.2 配置路由策略的前缀列表 ...................................................................................... 17-2
17.2.3 配置路由策略的路由映像 ...................................................................................... 17-3
17.3 命令参考 ............................................................................................................................. 17-3
17.3.1 access-list route ....................................................................................................... 17-3
17.3.2 access-list route description .................................................................................. 17-4
17.3.3 ip lan_aggregate...................................................................................................... 17-5
17.3.4 ip prefix-list ............................................................................................................. 17-5
17.3.5 ip prefix-list description......................................................................................... 17-6
17.3.6 match interface........................................................................................................ 17-7
17.3.7 match ip address..................................................................................................... 17-7
17.3.8 match ip address prefix-list................................................................................... 17-8
17.3.9 match ip next-hop................................................................................................... 17-9
17.3.10 match metric.......................................................................................................... 17-9
17.3.11 on-match .............................................................................................................. 17-10

16
 17.3.12 route-map ............................................................................................................ 17-11
17.3.13 set ip next-hop..................................................................................................... 17-12
17.3.14 set metric.............................................................................................................. 17-12
17.3.15 set metric-type..................................................................................................... 17-13
17.3.16 show access-list route......................................................................................... 17-14
17.3.17 show ip lan_aggregate ....................................................................................... 17-14
17.3.18 show route-map.................................................................................................. 17-14
第 18 章 配置组播路由协议............................................................................................................... 18-1
18.1 概述 ..................................................................................................................................... 18-1
18.1.1 三层组播概述 .......................................................................................................... 18-1
18.1.2 IGMP 协议 ............................................................................................................... 18-2
18.1.3 PIM-SM 协议 ........................................................................................................... 18-2
18.2 配置组播路由协议 ............................................................................................................. 18-4
18.2.1 IGMP 基本配置 ....................................................................................................... 18-4
18.2.2 PIM-SM 基本配置 ................................................................................................... 18-4
18.2.3 配置动态 RP 发现 ................................................................................................... 18-5
18.3 配置案例 ............................................................................................................................. 18-6
18.3.1 建立组播 .................................................................................................................. 18-6
18.3.2 路由策略 .................................................................................................................. 18-7
18.4 常用调试功能 ..................................................................................................................... 18-8
18.4.1 debug igmp ............................................................................................................. 18-8
18.4.2 debug pim................................................................................................................ 18-8
18.5 命令参考 ............................................................................................................................. 18-9
18.5.1 clear ip igmp group ................................................................................................ 18-9
18.5.2 clear ip mroute ...................................................................................................... 18-10
18.5.3 debug igmp ........................................................................................................... 18-10
18.5.4 debug pim.............................................................................................................. 18-11
18.5.5 ip igmp access-group ........................................................................................... 18-12
18.5.6 ip igmp member-timeout .................................................................................... 18-12
18.5.7 ip igmp packet check-route-alert-opt................................................................. 18-13
18.5.8 ip igmp query-interval......................................................................................... 18-13
18.5.9 ip igmp querier-timeout ...................................................................................... 18-14
18.5.10 ip igmp static-group........................................................................................... 18-15
18.5.11 ip multicast-routing............................................................................................ 18-15

17
 18.5.12 ip pim bsr-border................................................................................................ 18-16
18.5.13 ip pim bsr-candidate .......................................................................................... 18-16
18.5.14 ip pim downstream-filter .................................................................................. 18-17
18.5.15 ip pim dr-priority ............................................................................................... 18-17
18.5.16 ip pim message-interval .................................................................................... 18-18
18.5.17 ip pim neighbor-filter......................................................................................... 18-18
18.5.18 ip pim query-interval ......................................................................................... 18-19
18.5.19 ip pim rp-address ............................................................................................... 18-20
18.5.20 ip pim rp-candidate............................................................................................ 18-20
18.5.21 ip pim sparse-mode............................................................................................ 18-21
18.5.22 ip pim source check-ignore ............................................................................... 18-22
18.5.23 ip pim source-dr-filter group ............................................................................ 18-22
18.5.24 ip pim source-dr-filter source ........................................................................... 18-23
18.5.25 show debug igmp ............................................................................................... 18-24
18.5.26 show debug pim ................................................................................................. 18-24
18.5.27 show ip igmp group........................................................................................... 18-24
18.5.28 show ip igmp timers........................................................................................... 18-25
18.5.29 show ip mroute ................................................................................................... 18-25
18.5.30 show ip pim bsr-router ...................................................................................... 18-26
18.5.31 show ip pim interface......................................................................................... 18-26
18.5.32 show ip pim neighbor ........................................................................................ 18-26
18.5.33 show ip pim rp.................................................................................................... 18-27
18.5.34 show ip pim rp-candidate ................................................................................. 18-27
18.5.35 show ip pim rp-hash .......................................................................................... 18-28
18.5.36 show ip rpf........................................................................................................... 18-28
第 19 章 配置 QoS.............................................................................................................................. 19-1
19.1 概述 ..................................................................................................................................... 19-1
19.2 配置 QoS............................................................................................................................. 19-2
19.2.1 基于 MAC 的优先级配置 ...................................................................................... 19-2
19.2.2 基于 PORT 的优先级配置...................................................................................... 19-3
19.2.3 基于 ACL 的优先级配置........................................................................................ 19-3
19.2.4 基于 VLAN 的优先级配置 .................................................................................... 19-4
19.2.5 DiffServ 相关配置 ................................................................................................... 19-4
19.2.6 ToS 相关配置 ........................................................................................................... 19-5

18
 19.2.7 带宽限制 .................................................................................................................. 19-6
19.3 命令参考 ............................................................................................................................. 19-7
19.3.1 config acl dscp......................................................................................................... 19-7
19.3.2 config acl meter....................................................................................................... 19-7
19.3.3 config acl priority.................................................................................................... 19-8
19.3.4 config acl tos_p........................................................................................................ 19-8
19.3.5 config dscp [enable|disable]................................................................................. 19-8
19.3.6 config dscp to-802.1p.............................................................................................. 19-9
19.3.7 config dscp to-802.1p map codepoint priority.................................................... 19-9
19.3.8 config mac dot1x authcontrolledmaccontrol .................................................... 19-10
19.3.9 config port bandwidth ......................................................................................... 19-10
19.3.10 config port dscp .................................................................................................. 19-11
19.3.11 config port remap-priority ................................................................................ 19-11
19.3.12 config port remap-priority [on|off] ................................................................. 19-12
19.3.13 config priority qosqueue.................................................................................... 19-12
19.3.14 config tos.............................................................................................................. 19-12
19.3.15 config vlan dot1x authcontrolledvlancontrol ................................................. 19-13
19.3.16 config vlan dscp .................................................................................................. 19-13
19.3.17 config vlan priority............................................................................................. 19-13
19.3.18 config vlan tos_p................................................................................................. 19-14
19.3.19 config WRR-queue bandwidth ......................................................................... 19-14
19.3.20 create fdbentry .................................................................................................... 19-15
19.3.21 create meter ......................................................................................................... 19-15
19.3.22 delete meter ......................................................................................................... 19-16
19.3.23 no acl meter ......................................................................................................... 19-16
19.3.24 no acl priority ...................................................................................................... 19-16
19.3.25 no vlan priority ................................................................................................... 19-17
19.3.26 service qos [enable|disable].............................................................................. 19-17
19.3.27 show acl meter .................................................................................................... 19-18
19.3.28 show bandwidth port......................................................................................... 19-18
19.3.29 show dot1p-QosQueue-mapping..................................................................... 19-18
19.3.30 show dscp ............................................................................................................ 19-19
19.3.31 show dscp map ................................................................................................... 19-19
19.3.32 show meter .......................................................................................................... 19-20

19
 19.3.33 show meter detail ............................................................................................... 19-20
19.3.34 show tos_p........................................................................................................... 19-20
19.3.35 show wrr-queue.................................................................................................. 19-21
第 20 章 配置 ACL ............................................................................................................................. 20-1
20.1 配置 ACL............................................................................................................................ 20-1
20.1.1 ACL 概述.................................................................................................................. 20-1
20.1.2 配置 ACL 策略........................................................................................................ 20-1
20.1.3 设置策略计数器（counter）................................................................................. 20-2
20.1.4 过滤带分片的 UDP/TCP 报文.............................................................................. 20-2
20.2 配置 DOT1X-ACL ............................................................................................................. 20-3
20.2.1 DOT1X-ACL 概述 ................................................................................................... 20-3
20.2.2 配置 DOT1X-ACL .................................................................................................. 20-4
20.3 命令参考 ............................................................................................................................. 20-4
20.3.1 clear counter ............................................................................................................ 20-4
20.3.2 create acl [udp|tcp]................................................................................................ 20-5
20.3.3 config acl counter.................................................................................................... 20-6
20.3.4 create acl ethernet ................................................................................................... 20-6
20.3.5 create acl icmp......................................................................................................... 20-6
20.3.6 create acl ip .............................................................................................................. 20-7
20.3.7 create acl mac .......................................................................................................... 20-8
20.3.8 create acl mac-ip ..................................................................................................... 20-9
20.3.9 create counter .......................................................................................................... 20-9
20.3.10 create dot1x-acl group........................................................................................ 20-10
20.3.11 delete acl .............................................................................................................. 20-10
20.3.12 delete dot1x-acl group ....................................................................................... 20-11
20.3.13 delete dot1x-acl group rule ............................................................................... 20-11
20.3.14 service acl............................................................................................................. 20-11
20.3.15 show acl ............................................................................................................... 20-12
20.3.16 show counter ....................................................................................................... 20-12
20.3.17 show dot1x-acl group......................................................................................... 20-12
第 21 章 配置带宽限制....................................................................................................................... 21-1
21.1 基于端口的带宽限制 ......................................................................................................... 21-1
21.2 基于 ACL 的带宽限制 ....................................................................................................... 21-1
21.3 命令参考 ............................................................................................................................. 21-2

20
 21.3.1 config acl meter....................................................................................................... 21-2
21.3.2 config port bandwidth ........................................................................................... 21-2
21.3.3 create meter ............................................................................................................. 21-3
21.3.4 delete meter ............................................................................................................. 21-3
21.3.5 show acl meter ........................................................................................................ 21-4
21.3.6 show bandwidth port............................................................................................. 21-4
21.3.7 show meter .............................................................................................................. 21-5
21.3.8 show meter detail ................................................................................................... 21-5
第 22 章 配置 802.1x........................................................................................................................... 22-1
22.1 NAS 概述............................................................................................................................. 22-1
22.2 802.1x 协议 .......................................................................................................................... 22-4
22.2.1 802.1x 体系结构 ....................................................................................................... 22-5
22.2.2 802.1x 认证机制 ....................................................................................................... 22-6
22.2.3 802.1x 协议实现内容 ............................................................................................... 22-8
22.3 配置 802.1x ....................................................................................................................... 22-11
22.3.1 使能/关闭 802.1x 认证服务................................................................................. 22-11
22.3.2 配置协议参数 ........................................................................................................ 22-11
22.3.3 配置对端口的 802.1x 控制 ................................................................................... 22-12
22.3.4 设置用户绑定功能 ................................................................................................ 22-14
22.3.5 设置重新认证机制 ................................................................................................ 22-14
22.3.6 设置异常下线检测机制（keepalive） ............................................................... 22-15
22.3.7 强制用户退出认证状态 ........................................................................................ 22-17
22.3.8 清除 802.1x 统计信息 ........................................................................................... 22-19
22.3.9 配置基于 802.1x 的动态限速功能 ....................................................................... 22-19
22.3.10 802.1x 客户端发现 ............................................................................................... 22-21
22.3.11 802.1x 客户端代理 ............................................................................................... 22-22
22.3.12 用户认证前后，VLAN 的动态跳转.................................................................. 22-23
22.3.13 不同端口分别控制可以接入的用户数 .............................................................. 22-23
22.3.14 按端口流量计费 .................................................................................................. 22-24
22.4 配置 MAC Limit .............................................................................................................. 22-24
22.4.1 概述........................................................................................................................ 22-24
22.4.2 配置案例 ................................................................................................................ 22-25
22.5 Dot1x 与 IAD（语音数据集成）结合使用 .................................................................... 22-27
22.6 802.1x 显示命令 ................................................................................................................ 22-28

21
 22.7 命令参考 ........................................................................................................................... 22-29
22.7.1 config dot1x client-discovery disable................................................................. 22-29
22.7.2 config dot1x client-discovery mac...................................................................... 22-30
22.7.3 config dot1x client-logoff time ............................................................................ 22-30
22.7.4 config dot1x client-proxy password................................................................... 22-31
22.7.5 config dot1x low-level-switch- bind .................................................................. 22-32
22.7.6 config dot1x polling ............................................................................................. 22-32
22.7.7 config dot1x port-account.................................................................................... 22-32
22.7.8 config dot1x port-account period ....................................................................... 22-33
22.7.9 config port dot1x client-proxy ............................................................................ 22-33
22.7.10 config port dot1x max-host-count .................................................................... 22-34
22.7.11 config port dot1x port-control-mode ............................................................... 22-34
22.7.12 show dot1x low-level-switch- bind .................................................................. 22-35
22.7.13 show dot1x pae ip............................................................................................... 22-35
第 23 章 配置 RADIUS ..................................................................................................................... 23-1
23.1 Radius 认证技术 ................................................................................................................. 23-1
23.2 Radius 配置命令 ................................................................................................................. 23-1
23.2.1 配置 Radius 认证服务............................................................................................ 23-2
23.2.2 配置 Radius 计费服务............................................................................................ 23-5
23.2.3 设置 Radius CUT 功能 .......................................................................................... 23-7
23.2.4 配置 Session Timeout 处理机制 ........................................................................... 23-9
23.2.5 配置 Radius Server 主备切换功能...................................................................... 23-10
23.2.6 传递用户信息到 RADIUS.................................................................................... 23-11
23.2.7 Console 与 telnet 远程认证 .................................................................................. 23-11
23.2.8 配置 Radius 属性.................................................................................................. 23-12
23.2.9 配置实例 ................................................................................................................ 23-18
23.3 Radius 显示命令 ............................................................................................................... 23-19
23.4 配置域 ............................................................................................................................... 23-19
23.4.1 域的基本配置 ........................................................................................................ 23-20
23.4.2 域的认证配置 ........................................................................................................ 23-21
23.4.3 域的计费配置 ........................................................................................................ 23-22
23.4.4 配置实例 ................................................................................................................ 23-24
23.5 接入服务应用配置案例 ................................................................................................... 23-25
23.5.1 单域认证 ................................................................................................................ 23-25

22
 23.5.2 多域认证 ................................................................................................................ 23-26
23.5.3 服务器的主备切换 ................................................................................................ 23-28
23.5.4 基于 802.1x 的动态限速 ....................................................................................... 23-30
23.6 命令参考 ........................................................................................................................... 23-31
23.6.1 clear nas accounting-statistic............................................................................... 23-31
23.6.2 config isp-domain <domain> dhcpr [add-server |delete-server] <A.B.C.D>
............................................................................................................................................ 23-32
23.6.3 config isp-domain <domain> dhcpr gateway <A.B.C.D> vlan <vlanname>
............................................................................................................................................ 23-32
23.6.4 config isp-domain <domain> dhcpr gateway delete....................................... 23-33
23.6.5 config login-auth [enable|disable]..................................................................... 23-34
23.6.6 config login-auth [local|radius] ......................................................................... 23-34
23.6.7 config login-radius domain................................................................................. 23-34
23.6.8 config login-radius time....................................................................................... 23-35
23.6.9 radius config-attribute agent-info default-value.............................................. 23-35
23.6.10 radius config-attribute agent-info vendor-specific ........................................ 23-35
23.6.11 radius config-attribute dhcp-server default-value......................................... 23-36
23.6.12 radius config-attribute dhcp-server vendor-specific ..................................... 23-36
23.6.13 radius config-attribute gateway default-value ............................................... 23-36
23.6.14 radius config-attribute gateway vendor-specific ........................................... 23-37
23.6.15 radius config-attribute ie-agent default-value................................................ 23-37
23.6.16 radius config-attribute ie-agent vendor-specific ............................................ 23-37
23.6.17 radius config-attribute maclimit-base-info default-value ............................. 23-38
23.6.18 radius config-attribute maclimit-base-info vendor-specific ......................... 23-38
23.6.19 radius config-attribute maclimit-punish-time default-value........................ 23-38
23.6.20 radius config-attribute maclimit-punish-time vendor-specific .................... 23-39
23.6.21 radius config-attribute netmask default-value ............................................... 23-39
23.6.22 radius config-attribute netmask vendor-specific ........................................... 23-39
第 24 章 配置 VRRP .......................................................................................................................... 24-1
24.1 概述 ..................................................................................................................................... 24-1
24.1.1 VRRP 协议状态 ....................................................................................................... 24-1
24.1.2 VRRP 配置规则 ....................................................................................................... 24-2
24.2 配置 VRRP.......................................................................................................................... 24-2
24.2.1 配置虚拟路由器的参数 .......................................................................................... 24-2

23
 24.3 配置案例 ............................................................................................................................. 24-3
24.4 命令参考 ............................................................................................................................. 24-4
24.4.1 debug vrrp ............................................................................................................... 24-4
24.4.2 show debug vrrp..................................................................................................... 24-4
24.4.3 show vrrp................................................................................................................. 24-5
24.4.4 vrrp advertise-timer ............................................................................................... 24-6
24.4.5 vrrp authentication................................................................................................. 24-6
24.4.6 vrrp ipaddress......................................................................................................... 24-7
24.4.7 vrrp name ................................................................................................................ 24-7
24.4.8 vrrp pingtrack ......................................................................................................... 24-7
24.4.9 vrrp preempt ........................................................................................................... 24-8
24.4.10 vrrp priority........................................................................................................... 24-8
24.4.11 vrrp track ............................................................................................................... 24-9
第 25 章 配置虚拟堆叠....................................................................................................................... 25-1
25.1 概述 ..................................................................................................................................... 25-1
25.2 命令参考 ............................................................................................................................. 25-1
25.2.1 [start|stop] cluster.................................................................................................. 25-1
25.2.2 cluster erase ............................................................................................................. 25-2
25.2.3 cluster reboot........................................................................................................... 25-2
25.2.4 cluster save .............................................................................................................. 25-2
25.2.5 config cluster commander ..................................................................................... 25-3
25.2.6 config cluster member............................................................................................ 25-3
25.2.7 config cluster trap................................................................................................... 25-3
25.2.8 cluster download ftp .............................................................................................. 25-3
25.2.9 show cluster............................................................................................................. 25-4
25.2.10 show cluster snmp trap........................................................................................ 25-4
第 26 章 配置芯片复位....................................................................................................................... 26-1
26.1 命令参考 ............................................................................................................................. 26-1
26.1.1 config device extern-buffer [enable | disable].................................................... 26-1
26.1.2 config device recover mode interrupt [reset|analyses|disable] ..................... 26-1
26.1.3 config device recover mode poll [enable|disable]............................................. 26-2
26.1.4 config device recover mode poll interval <1-600> ............................................. 26-3
26.1.5 config device recover mode poll port [all|one] ................................................. 26-3
26.1.6 show device recover configuration ...................................................................... 26-4

24
 HOS 软件基础

第1章 HOS 软件基础

HammerOS（简称 HOS）使用命令行接口（CLI）作为操作界面。

在线帮助

HOS 的命令行接口（CLI）提供如下四种在线帮助：
Help 命令
完全帮助
部分帮助
TAB 帮助

Help命令

在任一命令模式下，键入 help 可以获取有关帮助系统的简单描述。例如：

Harbour(config)# help

HammerOS provides help feature as described below.

1. Anytime you need help, just press "?" and don't

press Enter, you can see each possible command argument
and its description.

2. You can also input "list" and then press Enter

to execute this helpful command to view the list of
commands you can use.

完全帮助

在任一命令模式下，键入"？"可以获取该命令模式下，所有命令以及各命令的简单

I
HOS 软件基础

描述。例如：
Harbour(config)# ?
access-list Create an access-list
arp Config arp table
backup Backup config
batfile Create a command file
cdp Config CDP
…… ……

部分帮助

键入命令后输入一个空格，然后再键入"？"，如果该位置存在关键字，则列出全
部可选的关键字及其简单描述；如果该位置存在参数，则列出相关参数及其描
述。例如：
Harbour(config)# interface ?
atm Config ATM interface
ethernet Config ethernet interface
loopback Config loopback interface
pos Config pos interface
supervlan Config supervlan interface
…… ……

Harbour(config)# interface vlan ?

<vlanname> Vlan's name

键入一个字符串，其后输入“？”
，如果存在以该字符或字符串开头的命令，则
列出全部以该字符或字符串开头的所有命令及其简单描述。例如：
Harbour(config)# show s?
services Show information of system services status
share-group Traffic class map
slab Show information of system memory cache
snmp Simple Network Management Protocol
sntp-client Show sntp client configuration
…… ……

TAB帮助

键入一个字符或字符串，然后按 Tab 键，HOS 可以自动补齐命令：

II
 HOS 软件基础

如果存在多个以该字符或字符串开头的命令，则列出全部以该字符或字符串开
头的所有命令，例如：
Harbour(config)# t（按 Tab 键）
tacc telnet terminal traceroute
如果只存在一个以该字符或字符串开头的命令，则将以该字符或字符串开头的
这个命令补全，并把光标移至最后，等待下一步输入，例如：
Harbour(config)# q（按 Tab 键）
Harbour(config)# quit

如果一个命令比较长不好输入，您可以只输入该命令的前几个
提示 字符，然后使用“Tab”键帮助补齐。

命令语法

1、命令行的所有命令都是不区分大小写的。
提示 2、设置密码时，需要区分大小写。

命令符号

在命令格式中可以看到各种符号，这些符号不是命令本身的一个部分，它们说明了
应该如何输入该条命令。命令格式中符号的含义如下表所示：

符号 含义 应用举例
尖括号 <> 该部分必须输入一个参数。 命令interface vlan <vlanname>
{<1-4094>}*1中，必须在<vlanname>的
位置输入一个合法的VLAN的名字。
中括号 [ ] 和 中括号一般和竖直线配合使 命令config syslog [enable|disable]中，中
竖直线 | 用。中括号括起来的部分表 括号内包含由竖直线分隔的两个可选项，
示这部分命令有几个用竖直 必须输入enable或者disable。
线分隔开的可选项，必须选
择输入其中一项。如果中括
号中只有一个可选项，直接
输入该可选项即可。

III
HOS 软件基础

大括号 { } 和 大括号一般和星号配合使 命令no access-list {<1-5000>}*1中，可以

星号 * 用。大括号括起来的部分可 直接输入no access-list，也可以在no
以输入0-n次，n等于星号后 access-lis后加上一个access-list的序号
的数字。 （范围1~5000）。

参数类型

以尖括号“<>”括起来的部分是命令参数，HOS 的命令参数主要有以下四种类型：
数值范围
当尖括号中是两个数值由短横线连接时，表示该参数的取值范围在这两个数值之间。
例如：<1-255>表示用户可以输入大于等于 1 并且小于等于 255 的任意一个整数，
比如 20 就是一个合法的参数。
IP 地址
当尖括号中是 A.B.C.D 时，表示该参数是一个 IP 地址，您必须输入一个合法的 IP
地址值，例如 192.168.0.1 就是一个合法的 IP 地址值。
端口列表
当尖括号中是 portlist 时，表示该参数是输入端口列表。端口列表中的多个端口之间
用逗号"，"分隔，如果是连续的多个端口号可以用该连续端口的最小端口再加上短
横线"-"再加上该连续端口的最大端口号表示。例如：输入 1，3-6，8 表示的端口列
表为：1，3，4，5，6，8
字符串
当尖括号中所列的不是以上三种情况时，可能表示该参数需要输入的是一个字符串
或者 16 进制数，具体可以在输入命令到该参数部分时，输入问号"？"键查看该部分
参数的命令说明。例如：<macaddr>表示需要输入一个 16 进制的 MAC 地址，输入
005023344325 为一个合法的 MAC 地址，而<name>则表示要输入一个字符串做为
某个对象的名字。

命令简写

输入命令时，可以只输入命令单词或关键字前边的部分字母，只要这部分字母不会
造成歧义，交换机就能够识别该命令，用户可以直接回车执行该命令。对于需要用
户输入的参数如 VLAN 的名字等，则要求完整输入。
例如：创建一个 VLAN，名称为 vlan1：
Harbour(config)# interface vlan vlan1

IV
 HOS 软件基础

上述命令也可简写为：
Harbour(config)# int vl vlan1

命令模式

HOS 命令行提供了两种模式，一种是只读模式，另一种是配置模式。在只读模式下
用户只能查看一部分系统配置信息，在配置模式下用户能够查看所有系统配置信息，
并能修改系统配置。在两种模式下，命令提示符的结尾符号、缺省的命令提示符也
不相同。只读模式和配置模式的比较见下表：

只读模式 配置模式
功能权限 只能查看一部分系统配置信息 能够查看所有系统配置信息，并能
修改系统配置
命令提示符 > #
的结尾符号
缺省的 Harbour> Harbour(config)#
命令提示符

在只读模式下，输入 enable 命令即可进入配置模式，可以对交换机进行配置和写操

作。相反，输入 exit 命令可以退出当前配置模式，返回到上一级命令模式。在配置
模式下，输入 exit 命令即可退回到只读模式。
在配置模式下，通过一些命令可以进入独立的功能配置模式，这时系统会显示相应
的提示符。例如：Harbour(config-router-ospf)# 为路由协议配置模式；
Harbour(config-vlan-vlan1)# 为接口配置模式。
各功能配置模式详见本手册相关章节。

行编辑指令

在命令行接口（CLI）中，可以使用如下行编辑指令：

指令 功能
BackSpace键或Ctrl+h 向左删除一个字符
向上箭头键或Ctrl+p 调用上一个历史命令
向左箭头键或Ctrl+b 将光标向左移动一格
向右箭头键或Ctrl+f 将光标向右移动一格

V
HOS 软件基础

向下箭头键或Ctrl+n 如果前边使用过向上箭头调用上一个历史命
令，再单击向下箭头键可以显示下一个历史
命令
Ctrl+a 将光标移动到行首
Ctrl+e 将光标移动到行尾
Ctrl+d 将光标所在位置的字符删除
Ctrl+k 将光标以后的字符全部删除
Ctrl+t 将光标所在的字符和光标左边的那个字符互
相调换，并将光标向右移动一格
Ctrl+u 整行删除
Ctrl+w 将光标左边的字符全部删除

上述命令中的向上箭头键、向左箭头键、向右箭头键和向下箭头键指令只支持利用
Telnet 配置交换机方式，不支持串口配置。而命令 Ctrl+h、Ctrl+p、Ctrl+b、Ctrl+f
和 Ctrl+n 对上述两种登录方式均支持。

no命令

当使用一些命令进行配置后，可以使用其对应的 no 命令来取消配置。
例如：命令 debug sntp 可以打开 SNTP 的 debug 调试开关，其对应的 no 命令 no
debug sntp 则可以关闭该开关。

保存配置

如果希望当前配置在交换机断电或重新启动后依然有效，一定要使用 save
configuration 命令保存当前配置文件。例如：
Harbour(config)# save configuration
Trying to save configuration to flash, please wait...
Preparing data for saving configuration...Done.

Starting writing configuration data to flash...Done.

Configuration saved to flash successfully.

VI
 第 1 章 系统管理

1 第1章 系统管理

1.1 管理交换机的途径

交换机主要有以下几个管理途径：
使用终端（或者仿终端软件）连接到交换机的串口（Console），通过终端来访
问交换机的命令行接口（CLI）。
使用 Telnet 管理交换机。
使用 SNMP 管理软件管理交换机。
交换机同时能支持多个连接：
一个 Console 口连接
最多同时能支持 3 个 telnet 连接
最多同时能支持 4 个用户连接
一个用户最多同时开 2 个连接

有关 SNMP 的配置请参考本手册的配置 SNMP 一章。

提示

1.1.1 使用Console口连接到交换机

可以通过在交换机前面板上标有“Console”字样的 RJ-45 串口与终端计算机的 COM

口相连。连接到 Console 端口的终端应按如下配置：
波特率： 9600
数据位： 8
奇偶校验：无
停止位： 1
流量控制：无
在使用 Console 口连接交换机时，推荐用户使用 VT100 终端仿真。设置方法：在

1-1
第 1 章 系统管理

超级终端界面中，打开“文件”菜单，选择“属性”工具条，出现一个窗口，点击
“设置”标签，在终端仿真下拉列表中选择 VT100 即可。如下图所示：

如果连接成功，在终端中看到操作系统启动的界面后，您就可以通过命令行接口对
交换机进行配置了。
例如：通过 Console 口连接登录到交换机后，给交换机配置一个 192.168.0.232 的
IP 地址，按以下步骤进行：
第一步：将交换机的 Console 口和特定终端连接起来，正常给交换机供电。
第二步：待 HammerOS 成功启动后，就可以看到交换机的提示登录信息：
############################################################
# #
# Welcome to HammerOS. #
# #
# Press Return to connect and config this system。 #
# #
############################################################

第三步：此时，系统要求您输入用户名和密码。
如果您是首次登录交换机，您就应该使用缺省的用户名 admin 进行登录，此时
输入登录密码 harbour，按回车键，进入只读模式，输入 enable，按回车，键
入配置模式缺省密码 harbour。

1-2
 第 1 章 系统管理

如果您已经分配了一个自己的用户名和密码，而且您已有系统管理员的权限，
那么，登录时就使用自己的用户名和密码。
第四步：当您成功登录交换机时，系统显示如下信息：Harbour(config)#，表明您可
以对命令行进行操作了。
第五步：然后给交换机的某个 VLAN（可以是 default VLAN 或者新创建的 VLAN，
此处以 default VLAN 为例）配置 IP 地址。输入命令：config vlan default ipaddress
192.168.0.232/24。成功执行该命令后，就可以从该 VLAN 的端口上以该 VLAN 的
IP 地址 telnet 到交换机的命令行接口。
第六步：保存配置，键入命令：save configuration
Trying save configuration to flash, please wait ......
Preparing configuration data to save...Done.
Starting write configuration data to flash...Done.
Configuration save to flash successfully.

表明系统向 FLASH 中写入配置信息成功，即保存成功，而且所做的配置立即生效。

第七步：当您完成对交换机的操作后，键入命令：logout 或 exit 就可以断开与交换
机的连接，并退出命令行界面。

1.1.2 使用Telnet管理交换机

任何一个有 Telnet 功能的工作站都能通过 TCP/IP 网络连接到交换机，从而实现对

交换机的配置管理。如果使用 Telnet 登录交换机，首先应该给交换机配置一个 IP
地址。然后在配置模式下输入命令：telnet <A.B.C.D>。

这里的参数<A.B.C.D>必须与本交换机的 IP 地址在同一网段。
注意

例如：远程登录一台 IP 地址为 192.168.0.232 的交换机，在配置模式下，键入命令：

harbour(config)#telnet 192.168.0.232

Connected to 192.168.0.232.
Press Ctrl-Q to force exit telnet.
HammerOS Version1.1 on FlexHammer.
Login：

输入用户名和密码进行登录。

1-3
第 1 章 系统管理

1.1.3 管理Telnet服务

管理员可以使用命令 service telnet 可以打开和关闭 Telnet 服务。

管理员可以强制非法一个 Telnet 连接，步骤如下：
第一步：用 who 命令查看当前连接的用户。
第二步：如果发现有一个用户连接是非法的，那么可以根据用 who 命令所看到的该
连接的 sessionID，然后用以下命令强制断开那个连接：kill session <1-24>，其中
<1-24>是 sessionID 的取值范围。
如果您输入的 sessionID 是通过 console 口连接的，您将不能删除这个用户，此时
系统会出现以下提示信息：You can't kill a console session.
通过强制关闭非法的 telnet 连接可以防止非法用户登录，从而提高系统的安全特性。

1.2 基本管理信息

1.2.1 常用命令

只读模式下的常用命令如下表所示：
表1-1 只读模式下的常用命令
命令 描述
clear 清除屏幕显示
enable 进入配置模式，可以对交换机进行配置和写操作
exit 退出当前配置模式，返回到上一级配置模式
help 显示如何使用命令行中的语法帮助
list 显示当前可用的命令列表
logout 退出登录，断开连接
quit 退出命令行，断开连接（和logout作用相同）
show history 显示已输入的历史命令
show idle-timeout 显示idle timeout（空闲超时）时间
show services 显示当前系统提供的服务
who 显示当前连接到交换机的用户

只读模式下除了 enable 以外的所有命令在配置模式下都有效，表 1-2 中列出配置

模式下的常用命令时就不再重复这些命令。

1-4
 第 1 章 系统管理

表1-2 配置模式下的常用命令
命令 描述
enable-password 修改自己进入配置模式的密码
erase {startup-config}*1 删除交换机中保存的系统启动配置信息
hostname <hostname> 给设备重新起个名字
idle-timeout <0-35791> 设置经过多长的空闲时间后，系统自动退出登录
save {configuration}*1 把当前正在运行的配置写到交换机中并保存
show running-config 显示系统当前正在运行的配置
show startup-config 显示系统的启动配置
terminal length <0-512> 设置终端每屏输出的行数

1.2.2 用户管理

用户权限
HammerOS 中提供了两种用户权限：普通用户（NORMAL）和管理员（ADMIN）
。
普通用户能查看大部分系统信息，但不能查看系统中的用户信息和系统的配置
信息（主要指系统中的配置文件内容以及系统全局配置信息）。普通用户登录到
HammerOS 系统后，只能进入只读模式而不能进入配置模式。
管理员能进入配置模式并对系统的所有参数进行查看和设置。系统管理员还能
增加用户帐号、删除用户帐号、设置修改用户密码，以及进行系统的全局信息
的配置等。
缺省用户帐号
系统缺省内置了一个管理员权限的用户帐号，用户名是 admin，缺省密码是 harbour。
缺省用户 admin 的帐号不能被删除，用户也不能被修改，只能修改其密码。缺省的
用户进入配置模式的密码也是 harbour。
添加用户帐号
用 user add 命令可以添加一个用户帐号。例如，增加一个名为 Anna 的用户帐号，
并设置其登录密码为 123456：
Harbour(config)# user add Anna login-password 123456

新添加的用户帐号权限都是普通用户（NORMAL）。下面的命令依次将用户帐号的
权限设置为管理员（ADMIN）和普通用户（NORMAL）：
Harbour(config)# user role Anna admin
Harbour(config)# user role Anna normal

查看用户帐号
用下列命令可以查看当前所有的用户帐号：

1-5
第 1 章 系统管理

Harbour(config)# user list

UserName ---------------User_role ----------
Admin ADMIN_USER
Anna NORMAL_USER
Total 2 users in system.

删除用户帐号
用 user delete 命令可以删掉一个用户帐号：
Harbour(config)# user delete anna

修改密码
具有管理员权限的用户可以修改密码：
管理员修改自己的登录密码，使用命令 login-password，然后根据提示输入新
密码和确认新密码即可。
管理员修改自己进入配置模式的密码，使用命令 enable-password。然后根据提
示输入新密码和确认新密码即可。
管理员能够重新设置其他用户的登录密码和配置模式密码，分别使用命令 user
login-password、user enable-password，然后根据提示输入新密码和确认新密
码即可。

密码区分大小写。
注意

1.2.3 显示版本信息

使用命令 show version 可以显示设备的版本信息。具体显示内容与设备的型号、规

格、软件、硬件版本有关。
例如：
Harbour(config)# show version
HammerOS(tm)
Version 1.3(Build 0017 on 10:05:25 Jan 4 2004)
Copyright (c) Harbour Networks Limited. All rights reserved.
Running on FlexHammer5010V2 Intelligent Switch Hardware
Hardware Version: Version 2.30
Bootrom Version: Version 1.63
Manufacture Date: 2002-02-26
Serial Number: 01010100A122022000001
Base Mac Address: 00053b000003

1-6
 第 1 章 系统管理

1.2.4 设置终端每屏显示信息的行数

默认情况下终端每屏幕显示信息 20 行，如果参数 length 设为 0，则对每屏显示的

行数不作限制。例如，这里设置每屏显示信息 30 行：
Harbour(config)# terminal length 30

1.2.5 显示设备当前的各种服务状态

使用命令 show services 可以显示设备当前的各种服务状态。具体显示内容与设备

的型号、规格、软件、硬件版本有关。
例如：
Harbour(config)# show services
Service telnet is up.
Service acl is down.
Service qos is down.
Service dhcprelay is down.
Service snmp agent is up.
Service snmp rmon is down.
Service snmp trap support is down.

1.2.6 设置交换机的名称

有时为了管理的方便，可以重新设置交换机的名称，这时，系统的提示符会随之改
变。例如，设置主机的名称为 HammerOS：
Harbour(config)# hostname HammerOS

1.2.7 设置和查看空闲等待时间

例如，设置系统的空闲等待时间是 20 分钟，并查看配置结果，可使用如下命令：
Harbour(config)# idle-timeout 20
Harbour(config)# show idle-timeout
Idle time out is set to 20 minutes.

如果用户在 20 分钟内未对系统作任何操作，会自动退出超级终端管理状态，并断

1-7
第 1 章 系统管理

开与终端的连接进入登录前的状态。当参数设置为 0 时，不能自动退出系统。

如果处于学习阶段或者调试设备状态，可以将该参数设置大些
提示 或者设置为 0。

1.2.8 查看当前系统的配置情况

在故障诊断或者其他情况下，经常要用到 show running-config 命令查看系统的当前

配置信息。具体显示内容与设备的型号、规格、软件、硬件版本有关。例如：
!HammerOS system config file ------------------------
!Syslog config
!Port config
!VLAN config
!FDB entry config
!Acl config
!Qos config
!Dscp config
!Tos config
!Bandwidth config
!Traceroute config
!Stpd config
!Route-policy rules config
!Interface config
!Static routes config
!Igmp snooping
!Arp config
!Sntp config
!Timezone config
!Dot1x config
!Port bind config
!RADIUS client config
!Usermanage config
!snmp config
!H.Link config
!Network access-control service config
!vstack cluster config
!end of config -------------------------------------

1-8
 第 1 章 系统管理

1.2.9 查看已经保存的系统配置文件

查看保存过的系统配置文件内容。具体显示内容与设备的型号、规格、软件、硬件
版本有关。例如：
Harbour(config)# show startup-config
!HammerOS system config file
!version V2.00Build0017
!Basic information config
hostname ESR80
!

!Usermanage config
!

!Ifm config
!
!Arp config
!
!Trunk config
!
!Vlan config
interface vlan default 1
ip address 10.5.4.95 255.255.255.0
exit
!
!Rstp config
!
!Vrrp Configuration
!
!Sntp Config
!

!Dns config
!

!Udpforward Configuration
!
!Dhcp Relay config
!
!Route-policy rules config
!

1-9
第 1 章 系统管理

!Rip config
!

!Ospf config
!

!Bgp config
!

!Static routes config

!

!Igmp config
!

!Pim config
!

!Ip multicast config

!

!Syslog config
!
!Nms config
!

!end of config

!HammerOS configuration saved from

!User Name : admin
!Address : console
!Through : Cli
!End

1.2.10 保存当前配置文件

如果希望当前配置在交换机断电或重新启动后依然有效，请使用 save configuration

命令保存当前配置文件。当显示字符串“Configuration save to flash successfully.”
时，表明保存配置已经成功。例如：
Harbour(config)# save configuration
Trying save configuration to flash, please wait ......

1-10
 第 1 章 系统管理

Preparing configuration data to save...Done.

Starting write configuration data to flash...Done.

Configuration save to flash successfully.

可以把一份好的配置文件保存到文本文件中，在需要的时候（例
如不小心把交换机配置搞乱了，不知道怎样把配置恢复到以前
提示 的状态时）再把配置文件下载到交换机中。参看本手册1.4 节
存取配置文件及升级 HammerOS。

1.2.11 删除所有已经保存的配置信息

如果希望重新配置交换机的启动配置信息，请使用 erase startup-config 命令删除以

前的配置。本命令需要重新启动设备后才能生效。

删除启动配置后，在 reboot 前请不要执行 save config 命令。

注意

例如：
Harbour(config)# erase startup-config
Are you sure want to erase startup-config? [Y/N]y

Trying erase all configuration from flash, please wait ...... finished.
Successfully erase all configuration info from flash.

1.2.12 显示连接到交换机的用户信息

使用命令 who 可以显示所有连接到交换机的用户信息，而命令 who am i 只显示自

己（已与交换机连接）的信息。
Harbour(config)# who
SessionID - UserName ---------- LOCATION ---------- MODE ----
3 admin console CONFIG (That's me.)
Total 1 sessions in current system

1-11
第 1 章 系统管理

Harbour(config)# who am i
I am *Session [3] : user admin connected from console.

1.2.13 强制关闭特定的用户连接

如果有非法用户连接到交换机，管理员用户可以强制断开其连接。非法用户的
session ID 可以从 who 命令得到。例如，强制关闭掉 session ID 为 5 的用户的会话，
使用如下命令：
Harbour(config)# kill session 5

1.2.14 查看接口状态

在进行故障诊断的时候，经常要用到 show interface 命令进行接口状态查看。具体

显示内容与设备的型号、规格、软件、硬件版本有关。例如：
Harbour(config)# show interface v1
Interface v1
index 4 metric 1 mtu 1500 <UP,BROADCAST,LINK0,MULTICAST>
inet 100.1.1.1/16 broadcast 100.1.255.255
input packets 0, bytes 0, dropped 0, multicast packets 0
input errors 0, length 0, overrun 0, CRC 0, frame 0, fifo 0, missed 0
output packets 1, bytes 60, dropped 0
output errors 0, aborted 0, carrier 0, fifo 0, heartbeat 0, window 0
collisions 0

结果显示了接口的序号、MTU、接口 UP 状态等属性值、接口 ip 及子网掩码和接口

所在子网的广播地址等信息，还包括了转发报文输入/输出统计和错误报文统计。

1.3 时区、时间

每个交换机都有自己的系统时钟，能够保存当前的日期和时间。用户可以使用命令
进行静态配置。
此外，网络内所有交换机的时钟同步问题可以用 SNTP 解决，SNTP 也能用于给定
网络内所有系统时钟的同步，包括工作站或其它具有时钟的系统。对于各种各样的
工作站和服务器来讲，都有相应的 SNTP 客户端软件。SNTP 的有关内容参见本手
册配置 SNTP。

1-12
 第 1 章 系统管理

SNTP 的有关内容可参见本手册的配置 SNTP 部分。

提示

系统的默认时间是启动时从 NVRAM 读取的时钟值。可以使用 show time 显示系统

时间。使用命令 config timezone 设置系统时间和时区。

1.4 存取配置文件及升级
HammerOS

可以把一份好的配置文件保存到文本文件中，在需要的时候（例如不小心把交换机
配置搞乱了，不知道怎样把配置恢复到以前的状态时）再把配置文件下载到交换机
中。此外，也可以将交换机中的配置文件内容上传到本地磁盘文件中。
可以下载和上传 HammerOS 文件来升级和备份设备的操作系统。
下载和上传文件分别以有两种方法：FTP 和 Xmodem。

通过文件的上传和下载，可以很方便地对多台相同配置的交换
提示 机进行配置。

1.4.1 通过FTP协议下载配置文件或
HammerOS

配置步骤
步骤1 具有管理员权限的用户通过串口或者telnet登录并进入配置模式。
步骤2 输入命令download ftp [hammeros|config-file] <A.B.C.D> <username>
<password> <filename>。<A.B.C.D>为文件所在主机的IP地址，<username>
是FTP的用户名，<password>为FTP用户的密码，<filename>为被下载的文
件名。
步骤3 等待下载完毕后，输入reboot命令重新启动交换机。

1-13
第 1 章 系统管理

配置案例
假设 FTP 服务器的 IP 地址为 10.1.30.16，服务器上存在一个名为 sysconfig.txt 的
配置文件，用户 useA 是该 FTP 服务器的合法用户，密码为 harbour。可使用如下
命令通过 FTP 协议下载配置文件：
Harbour(config)#download ftp config-file 10.1.30.16 useA harbour sysconfig.txt

系统显示如下信息：
Trying download file from ftp server, please wait...

Successfully finished receiving file.

Trying write file to flash......

Finished.

You've successfully download new config file

Now you can type reboot command to reboot system.

这时，新的配置文件下载完毕，可输入 reboot 命令重新启动交换机。

1.4.2 通过使用Xmodem协议下载配置文
件或HammerOS

配置步骤
步骤1 具有管理员权限的用户通过串口或者telnet登录并进入配置模式。
步骤2 输入命令download xmodem [hammeros|config-file]{baudrate
[9600|115200]}*1。
步骤3 打开串口超级终端的发送文件菜单，选择要下载的配置文件及Xmodem协议，
下载指定文件。
步骤4 等待下载完毕后，输入reboot命令重新启动交换机。

配置案例
输入命令 download xmodem config-file，系统提示信息如下：
You haven't specified baudrate, system will use default value 9600, same as current
console baudrate.

Trying download file from console, please wait...

Trying receive file from console use xmodem protocol......

CCC

1-14
 第 1 章 系统管理

然后，打开串口超级终端的【发送文件】菜单：

选择要下载的配置文件及 Xmodem 协议：

选择“发送”，系统开始下载指定文件信息：

等待下载完毕后，系统显示如下信息，表明下载成功：

1-15
第 1 章 系统管理

Successfully finished receiving file.

Trying write file to flash......Finished.

You've successfully download new config file

Now you can type reboot command to reboot system

这时即可输入 reboot 命令重新启动交换机。

1.4.3 通过FTP协议上传配置文件或
HammerOS

通过 FTP 协议可将 Flash 中的配置文件或 HammerOS 文件上传到主机。

配置步骤
步骤1 使用命令upload ftp [hammeros|config-file] <A.B.C.D> <username>
<password> <filename>上传文件。

配置案例
假设 FTP 服务器的 IP 地址为 10.1.30.16，服务器上存在一个名为 sysconfig.txt 的
空白文件，用户 useA 是该 FTP 服务器的合法用户，并并具有上传文件的写权限，
用户密码为 harbour。可使用如下命令通过 FTP 协议上传配置文件：
Harbour(config)#upload ftp config-file 10.1.30.16 useA harbour sysconfig.txt

系统显示如下信息：
Trying upload file to ftp server, please wait...
Successfully finished Upload file.
Finished.
You've successfully upload config file.

当前交换机的配置信息将被上传到 FTP 服务器指定目录下，以文件 sysconifg.txt

保存。

1-16
 第 1 章 系统管理

1.4.4 通过使用Xmodem协议上传配置文
件或HammerOS

配置案例
将操作系统文件 HammerOS 上传到本地磁盘文件中：
第一步：在配置模式下，键入命令：
Harbour(config)#upload xmodem hammeros baudrate 115200

系统显示如下信息：
System's current console baudrate is 9600.
You've choosen change console baudrate to 115200 when upload file.
Please change your terminal's baudrate to 115200 in 10 seconds.
After that, you can start receive file.

第二步：迅速改变终端的带宽为 115200bps。此时一定要在 10 秒之内改变终端的

连接带宽为 115200bps，待完成操作后要恢复终端连接带宽为 9600bps 时，要先挂
断再连并在 10 秒之内改回 9600。

点击“配置”按钮后，在下图所示的端口设置中，将波特率设为 115200，然后点击
“确定”即可。

1-17
第 1 章 系统管理

第三步：在超级终端中，选择传送菜单的“接收文件”

选择存放操作系统文件所在的目录，使用的接收协议是 Xmodem。

1-18
 第 1 章 系统管理

点击“接收”按钮，并输入操作系统文件名称，例如：hammeros.bin。

点击“确定”按钮出现界面如下：

文件上传完毕出现如下提示信息：
Successfully finished upload file.
Finished.

You've successfully uploadimage file

Upload Complete.

这样，配置信息上传完毕。

1.5 重启交换机

在重新启动交换机之前，请使用命令 save configuration 保存配置文件，否则将丢

失所有没有保存的配置信息。重新启动交换机，有如下几种方式：

1-19
第 1 章 系统管理

1.5.1 重新加电

设备重新加电，可以通过交换机后面板上的电源开关进行操作，先将开关置为 OFF
状态，再置为 ON 状态，重新加电。

1.5.2 重新启动整机

进入配置模式后使用 reboot 命令即可重新启动整机。

1.6 命令参考

1.6.1 clear

clear
命令格式

命令功能 清除屏幕显示。

命令模式 只读模式和配置模式

Harbour(config)# clear
配置实例

1.6.2 config sysname

config sysname <.name>

命令格式

命令功能 配置用于网络管理的设备名称。

命令模式 配置模式

参数说明 参数 说明 缺省配置
.name 名称，为可包含空格的字符串 Harbour

show sysname
相关命令

1-20
 第 1 章 系统管理

1.6.3 config timezone

config timezone <name> [positive|negative] <0-12> {<1-59>}*1

命令格式

命令功能 配置交换机时区。

命令模式 配置模式

参数说明 参数 说明
<name> 本交换机时区名
[positive|negative] 东区/西区
<0-12> 小时
<1-59> 分钟

配置实例 中国时区位于东 8 区：
Harbour(config)#config timezone CST positive 8

1.6.4 download ftp

download ftp [hammeros|config-file] <A.B.C.D> <username> <password>

命令格式 <filename>

命令功能 通过 FTP 协议下载 HammerOS 文件或配置文件。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 文件所在主机的IP地址
<username> FTP的用户名
<password> FTP用户的密码
<filename> 下载的文件名

Harbour(config)# download ftp config-file 10.1.30.16 useA harbour

配置实例 sysconfig.txt

download xmodem
相关命令
upload ftp
upload xmodem

1-21
第 1 章 系统管理

1.6.5 download xmodem

download xmodem [hammeros|config-file]{baudrate [9600|115200]}*1

命令格式

命令功能 通过使用 Xmodem 协议下载 HammerOS 文件或配置文件。

命令模式 配置模式

参数说明 参数 说明
[hammeros|config-file] 下载HammerOS文件或配置文件
baudrate [9600|115200] 下载文件的带宽：9600或115200

Harbour(config)# download xmodem config-file

配置实例

download ftp
相关命令
upload ftp
upload xmodem

1.6.6 enable

enable
命令格式

命令功能 由只读模式进入配置模式。

命令模式 只读模式

默认状态 系统默认进入配置模式的密码为 harbour。

使用指导 具有管理员权限的用户输入进入配置模式的密码后，可以进入配置模式。
密码区分大小写。

Harbour>enable
配置实例
Password：<enable-password>
Harbour(config)#

enable-password
相关命令

1-22
 第 1 章 系统管理

1.6.7 erase startup-config

erase {startup-config}*1
命令格式

命令功能 删除交换机中保存的系统启动配置信息。

命令模式 配置模式

使用指导 如果希望重新配置交换机的启动配置信息，请使用此命令删除以前的配置。

Harbour(config)# erase startup-config

配置实例

save configuration
相关命令

1.6.8 exit

exit
命令格式

命令功能 退出 HammerOS 系统，或退出当前模式，返回上一模式。

命令模式 只读模式和配置模式

使用指导 在只读模式下使用 exit 命令，将退出 HOS 系统，与 quit、logout 效果一样；

在配置模式下使用 exit 命令将退回到只读模式。

配置实例 在只读模式下使用 exit 命令：

Harbour>exit

Exit
Disconnected.
Thanks for using Harbour Networks's product.
Bye!

在配置模式下使用 exit 命令：

Harbour(config)#exit
Harbour>

quit
相关命令
logout

1-23
第 1 章 系统管理

1.6.9 help

help
命令格式

命令功能 显示如何使用“?”寻求帮助提示。

命令模式 只读模式和配置模式

Harbour(config)#help
配置实例

1.6.10 hostname

hostname <hostname>
命令格式

命令功能 设置主机名称。

命令模式 配置模式

使用指导 在同一个网络中，最好统一规划主机名称。

Harbour(config)#hostname useA
配置实例
useA(config)#

1.6.11 idle-timeout

idle-timeout <0-35791>
命令格式

命令功能 设置系统的空闲超时时间。

命令模式 配置模式

参数说明 参数 说明
<0-35791> 空闲超时时间，单位：分钟

使用指导 该时间是指对交换机进行的相邻两次操作之间所允许的最大空闲时间。当
超过该时间时系统将自动执行 logout 操作。当输入 0 时表示不对系统的空
闲时间进行限制。

Harbour(config)#idle-timeout 10
配置实例

1-24
 第 1 章 系统管理

show idle-timeout
相关命令

1.6.12 list

list
命令格式

命令功能 显示当前模式下所有的命令。

命令模式 只读模式和配置模式

Harbour> list
配置实例

list <pattern> ，该命令可根据关键字查找命令

相关命令

1.6.13 quit / logout

quit
命令格式
logout

命令功能 关闭和目标机之间的连接，退出系统。

命令模式 只读模式和配置模式

使用指导 命令 quit 与命令 logout 作用相同

Harbour> quit
配置实例
Quit.
Disconnected.
Thanks for using Harbour Networks's product.
Bye!

1.6.14 reboot

reboot
命令格式

命令功能 重新启动交换机。

命令模式 配置模式

1-25
第 1 章 系统管理

使用指导 重新启动交换机前，如需保存配置信息，请使用 save configuration 命令。

1.6.15 save configuration

save configuration
命令格式

命令功能 保存当前的配置。

命令模式 配置模式

使用指导 如果希望当前配置在系统断电或重新启动后依然有效，请一定使用此命令。

Harbour(config)# save configuration

配置实例

erase startup-config
相关命令

1.6.16 service telnet

service telnet enable

命令格式
service telnet disable

命令功能 打开 Telnet 服务。

关闭 Telnet 服务。

命令模式 配置模式

使用指导 可以用 show service 命令查看系统提供的 Telnet 服务是否被打开：如果显

示 Service telnet is up. 则表明 Telnet 已经打开；如果显示 Service telnet is
down. 则表明 Telnet 已经关闭。

Harbour(config)#service telnet enable

配置实例
Successfully changed telnet service to up.

Harbour(config)#service telnet disable

Successfully changed telnet service to down.

show service
相关命令

1-26
 第 1 章 系统管理

1.6.17 show history

show history
命令格式

命令功能 显示最近输入的历史命令。

命令模式 只读模式和配置模式

使用指导 系统能记住用户最近输入的 20 个历史命令。

也可以用上下箭头键调用上一个或者下一个历史命令。参见本手册 HOS 软
件基础部分的行编辑指令。

Harbour>show history
配置实例

1.6.18 show running-config

show running-config
命令格式

命令功能 显示当前系统配置。

命令模式 配置模式

使用指导 这是一个很常用的命令，可以帮助系统管理员查看当前的系统配置情况。

Harbour(config)# show running-config

配置实例

1.6.19 show services

show services
命令格式

命令功能 显示当前各种服务的状态。

命令模式 只读模式和配置模式

Harbour(config)# show services

配置实例
Service telnet is up.
Service acl is down.
Service qos is down.

1-27
第 1 章 系统管理

Service dhcprelay is down.

Service snmp agent is up.
Service snmp rmon is down.
Service snmp trap support is down.

1.6.20 show startup-config

show startup-config
命令格式

命令功能 显示启动配置信息。

命令模式 配置模式

使用指导 只有保存过系统配置文件才可以查看其内容。

Harbour(config)# show startup-config

配置实例

1.6.21 show sysname

show sysname
命令格式

命令功能 显示系统当前的设备名称。

命令模式 配置模式

config sysname
相关命令

1.6.22 show tech-support

show tech-support {short}*1

命令格式

命令功能 将交换机的一些基本信息统一输出，便于查看整个系统的状态。

命令模式 配置模式

参数说明 参数 说明
short 指定输出信息的范围

使用指导 该命令相当于把下列 show 命令的结果统一输出。当指定 short 参数时，不

1-28
 第 1 章 系统管理

输出“#”标示的命令的结果。
Show version
Show running-config
Show interface
Show port all
Show port all static
Show memory status
Show cpu usage
show syslog contents
show time
show age
show vlan
show service
show fdb
show ip route
show arp
show debug all
show spanning-tree
show stpd
show exception
show systrace history
show syslog history
#show ip route blackhole
#show l3
#show def_table
#show ip mroute cache
#show ip route cache
#show ip fib
#show ip rip
#show ip rip database
#show ip ospf
#show ip ospf neighbor
#show ip ospf database
#show vrrp
#show pim
#show dhcpr packetsstatics
#show nas accounting-statistic
#show dot1x statistic

1.6.23 show version

show version
命令格式

命令功能 显示交换机的版本信息。

命令模式 只读模式和配置模式

使用指导 显示内容包括产品的硬件版本号、软件版本号、生产日期、产品序列号以
及设备的 MAC 地址等。

Harbour>show version
配置实例

1-29
第 1 章 系统管理

1.6.24 terminal length

terminal length <0-512>

命令格式

命令功能 设置终端每屏显示行数。

命令模式 只读模式和配置模式

参数说明 参数 说明
<0-512> 每屏显示行数，范围从0至512

默认状态 每屏显示 20 行。

使用指导 如果参数 length 设为 0，则对每屏显示的行数不作限制

Harbour(config)# terminal length 30

配置实例

1.6.25 upload ftp

upload ftp [hammeros|config-file] <A.B.C.D> <username> <password>

命令格式 <filename>

命令功能 通过 FTP 协议上传 HammerOS 文件或配置文件。

命令模式 配置模式

参数说明 参数 说明
[hammeros|config-file] 上传HammerOS文件或配置文件
<A.B.C.D> FTP服务器的IP地址
<username> FTP服务器的用户名
<password> FTP服务器的密码
<filename> 所生成的文件名

Harbour(config)#upload ftp config-file 10.1.30.16 useA harbour

配置实例 sysconfig.txt

download ftp
相关命令
download xmodem
upload xmodem

1-30
 第 1 章 系统管理

1.6.26 upload xmodem

upload xmodem [hammeros|config-file]{baudrate [9600|115200]}*1

命令格式

命令功能 通过 Xmodem 协议上传 HammerOS 文件或配置文件。

命令模式 配置模式

参数说明 参数 说明
[hammeros|config-file] 上传HammerOS文件或配置文件
baudrate [9600|115200] 上传文件的带宽：9600或115200

默认状态 系统默认 baudrate 为 9600。

Harbour(config)#upload xmodem hammeros baudrate 115200

配置实例

download ftp
相关命令
download xmodem
upload ftp

1.6.27 user add

user add <username> login-password <login_password>

命令格式

命令功能 创建一个普通用户帐号。

命令模式 配置模式

参数说明 参数 说明
<username> 用户名
<login_password> 用户登录密码

使用指导 用户名必须为以字母开头的，只包含大写或小写的英文字母、数字、下划
线且长度为 4-20 的字符串。用户登录密码可以是由任意字符组成的长度为
6-20 的字符串。

密码区分大小写。
注意

1-31
第 1 章 系统管理

配置实例 增加一个用户 manager，登录密码为 harbour：

Harbour(config)#user add manager login-password harbour
Successfully added user manager as a NORMAL_USER ,
To change user role use "user role" command

user delete
相关命令
user role admin

1.6.28 user delete

user delete <username>

命令格式

命令功能 删除一个用户帐号。

命令模式 配置模式

参数说明 参数 说明
<username> 欲删除帐号的用户名

Harbour(config)#user delete manager

配置实例
Successfully delete user manager .

user add
相关命令

1.6.29 user role admin

user role <username> admin enable-password <enable_password>

命令格式

命令功能 将用户设为管理员权限。

命令模式 配置模式

参数说明 参数 说明
<username> 用户名
<login_password> 用户登录密码

Harbour(config)#user add manager login-password 111111

配置实例
Harbour(config)#user role manager admin enable-password 111222
Successfully change user manager to ADMIN mode.

user add
相关命令

1-32
 第 1 章 系统管理

user role normal

1.6.30 user role normal

user role <username> normal

命令格式

命令功能 将管理员设为普通用户权限。

命令模式 配置模式

参数说明 参数 说明
<username> 管理员的用户名

配置实例 将管理员用户 manager 的权限改为普通用户：

Harbour(config)#user role manager normal
Successfully change user manager to NORMAL mode.

user add
相关命令
user role admin

1.6.31 who

who
命令格式
who am i

命令功能 命令 who 显示当前有哪些用户连接到目标机器。

命令 who am i 只显示自己（已与交换机连接）的信息。

命令模式 只读模式和配置模式

Harbour(config)#who
配置实例
SessionID - UserName ------- LOCATION ------- MODE ----
3 admin console CONFIG (That's me.)
Total 1 sessions in current system

Harbour(config)#who am i

I am *Session [3] ： user admin connected from console.

1-33
 第 2 章 系统监控与诊断

2 第2章 系统监控与诊断

2.1 ping

ping 命令可以用来检测网络的基本连接情况。
ping 命令发送 Internet Control Message Protocol（ICMP）请求报文到网络中的某
个 IP 设备。如果在设定时间内没有收到目的设备响应报文，则输出“REQUEST
TIME OUT”；否则显示响应报文的字节数、报文序号、TTL、响应时间，同时提供
统计信息，包括发送报文个数、接收到响应报文个数、未响应报文数百分比和响应
时间的最小值、最大值和平均值。
普通用户和管理员用户都可以使用 ping 命令。
例如，测试到 IP 地址为 192.168.0.1 的设备的连通性，可以键入命令：
Harbour(config)# ping 192.168.0.1

如果设备连通，则出现以下信息：
PING 192.168.0.1 : 56 data bytes.
Press Ctrl-c to Stop.

Reply from 192.168.0.1 : bytes=56: icmp_seq=0 ttl=128 time=100 ms

Reply from 192.168.0.1 : bytes=56: icmp_seq=1 ttl=128 time=33 ms
Reply from 192.168.0.1 : bytes=56: icmp_seq=2 ttl=128 time=16 ms
Reply from 192.168.0.1 : bytes=56: icmp_seq=3 ttl=128 time=0 ms
Reply from 192.168.0.1 : bytes=56: icmp_seq=4 ttl=128 time=33 ms

----192.168.0.1 PING Statistics----

5 packets transmitted, 5 packets received, 0% packet loss

round-trip(ms) min/avg/max = 0/36/100

如果没有连通则出现以下信息：
PING 192.168.0.1 : 56 data bytes.
Press Ctrl-c to Stop.

2-1
第 2 章 系统监控与诊断

Request time out.

Request time out.
Request time out.
Request time out.
Request time out.

----192.168.0.1 PING Statistics----

5 packets transmitted, 0 packets received, 100% packet loss

2.2 Ping Tracking

Ping Tracking 的主要功能是通过 Ping 的方式来确认本地（发出 Ping 的 Router）到

任意外部响应者（响应 Ping 的 Router 或 Host）之间的网络联通性。通过 Ping 的
方式，可以确定本地到外部某一 Router/Host 之间的网络是否连通，可以用于相应
调整本地 Virtual Router 的优先级，以主动完成 Virtual Router 间的主备切换。

配置步骤
步骤1 create pingtrack < trackname> <A.D.C.D> 创建一个的Ping Track接口
步骤2 show pingtrack [<trackname >|all] {statics}*1 查看已有的Ping Track接口

配置案例
步骤1 创建一个检测192.168.0.1接口状态Ping Track接口，带参数
Harbour(config)# create pingtrack pt0 192.168.0.1 4 1 5 5

步骤2 创建一个检测192.168.0.2接口状态 Ping Track接口，系统默认参数

Harbour(config)# create pingtrack pt1 192.168.0.2

步骤3 显示的Ping Track接口pt0的信息

Harbour(config)# show pingtrack pt0

步骤4 显示已经存在的Ping Track接口的统计信息

Harbour(config)# show pingtrack all statics

步骤5 清除所有Ping Track 的接口统计信息

Harbour(config)# clear pingtrack all statics

步骤6 删除Ping Track接口pt0

Harbour(config)# delete pingtrack pt0

2-2
 第 2 章 系统监控与诊断

2.3 traceroute

traceroute 命令可以检测交换机到目的地之间数据报经过的路径。
与 ping 命令不同，
traceroute 不但可以测试网络是否连通，还可以获知在数据包的传输路径中哪一个
地方出现问题。traceroute 命令的输出信息包括到达目的地经过的所有网关的 IP 地
址和到该网关所用的时间，如果某网关超时则显示“ * ”。只有管理员权限的用户
才可以使用 traceroute 命令。
例如，
测试交换机发出的数据报到达 IP 地址为 202.96.13.137 的设备所经过的路径：
Harbour(config)# traceroute 202.96.13.137

如果设备连通，则出现以下信息：
Type Control-C to abort.
Tracing the route to 202.96.13.137

1 10.7.4.1 < 10 ms < 10 ms < 10 ms

2 10.8.1.1 < 10 ms 16 ms 16 ms
3 10.4.1.254 16 ms 16 ms < 10 ms
4 10.1.0.144 16 ms < 10 ms 16 ms
5 218.244.39.98 16 ms 16 ms 16 ms
6 218.244.36.157 66 ms 50 ms 50 ms
7 202.96.6.181 266 ms 66 ms 66 ms
8 202.96.6.81 50 ms 66 ms 66 ms
9 202.96.13.137 50 ms 66 ms 50 ms

如果设备没有连通，出现以下信息：
Type Control-C to abort.
Tracing the route to 202.96.13.137

1 10.7.4.1 < 10 ms < 10 ms < 10 ms

2 10.6.1.1 < 10 ms 16 ms 16 ms
3 10.4.1.254 16 ms 16 ms < 10 ms
4 10.1.0.144 16 ms < 10 ms 16 ms
5 218.244.39.98 16 ms 16 ms 16 ms
6 218.244.36.157 66 ms 50 ms 50 ms
7 * * *
8 * * *
9 * * *

2-3
第 2 章 系统监控与诊断

输入 CTRL+C 可以中断 traceroute 命令操作。上述信息表明，交换机发出的数据报

在 218.244.36.157 之前的路径上都能正常传输，但在 218.244.36.157 的下一跳出
了问题。
交换机提供了两种 traceroute 的发包方式，使用命令 config tracert_mode 可以选择
发送 UDP 数据报或者 ICMP 数据报。

2.4 系统资源利用率

2.4.1 查看CPU利用率

使用命令 show cpu usage 可以查看 CPU 的利用率。例如：

Harbour(config)# show cpu usage
cpu usage: 9%

2.4.2 显示内存状况

使用命令 show memory status 可以查看内存当前使用状况。例如：

Harbour (config)#show memory status
=======================================================================
MODULE-NAME 32 64 128 256 512 1024 2048
ROUTE 1104 6 1 5 0 0 2
VIRTUAL_END 0 0 0 0 1 0 0
MANAGE_CLI 24472 1375 73 2 6 0 0
RSTP 0 0 0 0 242 0 0
SLAB_SHOW 0 0 0 0 5 0 0
FDB 7 0 1 24 0 0 0
VLAN 0 0 1 0 0 0 0
… …
===========Total CacheSize:1720320 Total UsageMemSize:1498196==========

2.4.3 显示从上次重启交换机到现在的时
间间隔

可以通过命令 show age 查看从上次重启交换机到现在的时间间隔。

2-4
 第 2 章 系统监控与诊断

2.5 常用调试命令

调试命令便于对系统进行监控与诊断。下表为常用的系统调试命令：
表2-1 常用系统调试命令
debug ip packet 调试收发IP报文处理的开关
debug packet 调试收发链路层报文处理的开关
debug all 调试收发报文处理的开关

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用其对应的 no 命令禁用调试功能。

2.6 命令参考

2.6.1 clear pingtrack statics

clear pingtrack [<trackname >|all] statics

命令格式

命令功能 清除 Ping Track 接口统计信息。

命令模式 配置模式

参数说明 参数 说明
< trackname > 要操作的Ping Track名称
all 清除所有Ping Track的统计信息

Harbour(config)# clear pingtrack all statics

配置实例

show pingtrack
相关命令

2-5
第 2 章 系统监控与诊断

2.6.2 config systrace

config systrace [enable|disable]

命令格式

命令功能 配置是否启用保存任务切换信息的功能。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 启用/禁用

默认状态 禁用。

2.6.3 config tracert_mode

config tracert_mode [udp|icmp]

命令格式

命令功能 配置 traceroute 的发包类型。

命令模式 配置模式

参数说明 参数 说明
[udp|icmp] 发送UDP或ICMP数据包

默认状态 发送 ICMP 数据包。

Harbour(config)# config tracert_mode udp

配置实例

traceroute
相关命令

2.6.4 create pingtrack

create pingtrack <name> <A.B.C.D> {<1-1000> <1-1000> <1-255> <1-255>}*1

命令格式

命令功能 创建一个 Ping Track 接口。

命令模式 配置模式

2-6
 第 2 章 系统监控与诊断

参数说明 参数 说明 缺省配置
< trackname > 要创建的Ping Track对象名称 ——
<A.D.C.D > 要检测的目的主机IP地址 ——
第1个<1－1000 > Ping Track等待回应数据包超时值，单位：秒 5
第2个<1－1000> ping track发包间隔频率值，单位：秒 2
第1个<1-255> 最大连续ping失败的次数，超过此次数则认为 5
目标主机不可达
第2个<1-255> 最大连续ping 成功的次数，超过此次数则认 5
为目标主机可达

Harbour(config)# create pingtrack pt0 192.168.0.1 4 1 5 5

配置实例

delete pingtrack
相关命令
show pingtrack

2.6.5 debug all

debug all
命令格式
no debug all

命令功能 打开所有调试手段的开关。
关闭所有调试手段的开关。

命令模式 配置模式

monitor
相关命令
show debug all

2.6.6 debug ip packet

debug ip packet [all|icmp|igmp|tcp|udp] [all|input|output]

命令格式
no debug ip packet [all|icmp|igmp|tcp|udp] [all|input|output]

命令功能 调试收发 IP 报文处理的开关。

命令模式 配置模式

参数说明 参数 说明
[all|icmp|igmp|tcp|udp] 显示全部或指定类型的报文处理信息
[all|input|output] 显示全部收发报文的处理信息、收报的处
理信息或发报的处理信息

2-7
第 2 章 系统监控与诊断

2.6.7 debug packet

debug packet [all|input|output] [<1-4095>|all]

命令格式
no debug packet [all|input|output] [<1-4095>|all]

命令功能 调试收发链路层报文处理的开关。

命令模式 配置模式

参数说明 参数 说明
all 显示全部报文处理信息
input 显示收报的处理信息
output 显示发报的处理信息
[<1-4095>|all] 指定vid的报文或所有报文

默认状态 关闭。

monitor
相关命令
show debug packet

2.6.8 delete pingtrack

delete pingtrack < trackname>

命令格式

命令功能 删除一个 Ping Track 接口。

命令模式 配置模式

参数说明 参数 说明
< trackname > 要删除的Ping Track名称

Harbour(config)# delete pingtrack pt0

配置实例

create pingtrack
相关命令

2-8
 第 2 章 系统监控与诊断

2.6.9 ping

ping {[-t]}*1 {[-count] <1-65535>}*1 {[-size] <0-6400>}*1 {[-waittime]

命令格式 <1-255>}*1 {[-ttl] <1-255>}*1 {[-pattern] <user_pattern>}*1 <A.B.C.D>

命令功能 检测网络的基本连接情况。

命令模式 配置模式

参数说明 参数 说明
-t 使用t选项后，ping命令将一直向目标IP地址发
送ICMP echo消息，直到用户用Ctrl+c中断。缺
省不用t选项时，ping命令发送完5个ICMP echo
消息即停止。
-count <1-65535> count选项指定ping程序总共发送多少个ICMP
echo消息后退出。
-size <1-6400> size选项指定发送的ICMP echo消息的附加内
容长度。
-waittime <1-255> waittime选项指定ping程序等待多少秒之后如
果还未收到应答就认为目标不可通。
-ttl <1-255> ttl选项指定ICMP数据包的ttl（time to live）值。
-pattern <user_patter> pattern选项指定ICMP数据包中用户自己定义
的1-16个16进制数。
<A.B.C.D> 目标设备的IP地址。

Harbour(config)# ping 192.168.0.1

配置实例

2.6.10 show age

show age
命令格式

命令功能 显示从上次重启交换机到现在的时间间隔。

命令模式 配置模式

Harbour(config)# show age

配置实例

2-9
第 2 章 系统监控与诊断

2.6.11 show cpu usage

show cpu usage

命令格式

命令功能 显示 CPU 的利用率。

命令模式 配置模式

Harbour(config)# show cpu usage

配置实例

2.6.12 show debug all

show debug all

命令格式

命令功能 显示 debug all 的配置信息。

命令模式 配置模式

debug all
相关命令

2.6.13 show debug packet

show debug packet

命令格式

命令功能 显示 debug packet 的配置信息。

命令模式 配置模式

debug packet
相关命令

2.6.14 show exception

show exception
命令格式

命令功能 显示系统重启之前的异常信息。

命令模式 只读模式

2-10
 第 2 章 系统监控与诊断

使用指导 需要开启 systace 功能后才能够使用该命令。

2.6.15 show memory status

show memory status

命令格式

命令功能 查看内存当前使用状况。

命令模式 配置模式

Harbour(config)# show memory status

配置实例

show sysmem
相关命令

2.6.16 show pingtrack

show pingtrack [<trackname >|all] {statics}*1

命令格式

命令功能 查看已有的 Ping Track 接口。

命令模式 配置模式

参数说明 参数 说明
< trackname > 要显示的Ping Track名称
all 显示所有Ping Track的信息
statics 显示Ping Track的统计信息

Harbour(config)# show pingtrack pt0

配置实例

clear pingtrack statics

相关命令
create pingtrack

2.6.17 show sysmem

show sysmem
命令格式

命令功能 显示系统提供的用户内存空间的使用情况。

2-11
第 2 章 系统监控与诊断

命令模式 配置模式

使用指导 show sysmem 显示的内存空间使用情况是系统用户内存空间使用情况。

Show memory status 中显示的内存空间使用情况是操作系统提供的一种
内存管理机制所管理的那部分内存空间的使用情况。Show memory status
中显示的内存空间包含于 show sysmem 显示的内存空间之中。

Harbour(config)# show sysmem

配置实例
System used memory 48035336 bytes. //这是创建时给所有任务预分配的系统内存
空间的总和。
Total system memory 79406872 bytes.
The percentage of Used memory: 60.4%.

show memory status

相关命令

2.6.18 show systrace

show systrace
命令格式

命令功能 显示系统当前的任务切换信息。

命令模式 只读模式

使用指导 需要打开保存任务切换信息的开关，否则将没有信息，或者显示开关最近
一次被关闭前的信息。

show systrace history

相关命令

2.6.19 show systrace history

show systrace history

命令格式

命令功能 显示系统重启之前的任务切换信息。

命令模式 只读模式

使用指导 只有开启了保存任务信息的开关，并不掉电重启，系统重启之前的任务切
换信息才可以保留。

show systrace
相关命令

2-12
 第 2 章 系统监控与诊断

2.6.20 traceroute

traceroute {[-a] <A.B.C.D>}*1 {[-f] <1-30>}*1 {[-m] <2-255>}*1 {[-q]

命令格式 <1-10>}*1 {[-w] <1-65535>}*1 <A.B.C.D>

命令功能 交换机到目的地之间数据报经过的路径。

命令模式 配置模式

参数说明 参数 说明 缺省配置
-a <A.B.C.D> 设定UDP数据报源IP地址，该参数只对UDP模 ——
式有效
-f <1-30> 指定数据报的初始ttl（time to live）值 1
-m <2-255> 指定数据报的最大ttl（time to live）值，即指定 30
搜寻目的IP设备的最大跳数
-q <1-10> 指定每一跳中的搜索次数 3
-w <1-65535> 指定traceroute程序每一次搜索所等待的时间， 2
单位：秒

Harbour(config)# traceroute 202.96.13.137

配置实例

config tracert_mode
相关命令

2-13
 第 3 章 配置 SNTP

3 第3章 配置 SNTP

3.1 概述

SNTP 的全名为简单网络时间协议（Simple Network Time Protocol），该协议使网

络中的设备能维持相同的时间，通过在网络设备中运行 SNTP 协议，有利于网络中
设备的管理和维护。SNTP 协议采用客户/服务器的工作方式。
SNTP 协议有三种不同的工作模式：
Unicast：客户端通过向指定的服务器发出包含本地时间请求的报文，服务器在
响应报文中包含服务器接收到客户端请求报文的时间和服务器发出响应报文的
时间。客户端在收到服务器的响应报文后，通过报文中包含的各种时间值可以
计算出报文的循环周期以及本地设备的时间值和服务器的偏差。
Multicast：服务器端周期性地广播自己的时间值，客户端在接收到广播报文后，
把自己的时间值改为和服务器广播报文中的时间值一致。
Anycast：当客户端不知道时间服务器的地址时采用此种方式，即客户端向指定
的网络发出多播或广播请求报文，网络中的服务器在收到广播请求报文后，都
以单播的方式响应客户端，但客户端只接收最先收到的响应报文，并记录下此
服务器的地址。以后客户端和此服务器便以 unicast 模式工作了。
SNTP 主要解决网络内所有交换机的时钟同步问题，除此之外，它也能用于给定网
络内所有系统时钟的同步，包括工作站或其它具有时钟的系统。对于各种各样的工
作站和服务器来讲，都有相应的 SNTP 客户端软件。

3.2 配置SNTP

3.2.1 配置SNTP客户端

配置交换机为 SNTP 客户端：

3-1
第 3 章 配置 SNTP

配置步骤

步骤1 cofig sntp-client mode <1-3> 设置交换机客户端的工作模式

步骤2 config sntp-client enable 使能SNTP客户端
步骤3 config sntp-client update-interval 当客户端工作在anycast和unicast模式
<64-1024> 下时，需要配置客户端的时间刷新周期
步骤4 show sntp-client 显示交换机SNTP客户端配置

3.2.2 配置SNTP服务器

配置交换机为 SNTP 服务器端：

配置步骤

步骤1 cofig sntp-server mode <1-3> 配置SNTP服务器的工作模式

步骤2 config sntp-client server ipaddr 当SNTP客户端工作在unicast模式下
<A.B.C.D> 时，在启动SNTP之前需要先配置
SNTP服务器的IP地址
步骤3 config sntp-server enable 使能SNTP服务器
步骤4 config sntp-server SNTP服务器工作在multicast模式下
broadcast-interval <64-1024> 时，需要配置服务器端的广播周期
步骤5 show sntp-server 显示SNTP服务器端配置

3.3 配置案例

3.3.1 配置SNTP

案例描述

本案例配置交换机 SNTP 服务器和客户端，用于同步两台交换机的时间。如图 3-1 所

示，交换机 1 配置为 SNTP 服务器，交换机 2 配置为 SNTP 客户端，两台交换机通
过网线相连。现配置服务器和客户端均工作在 anycast 模式，客户端每 20 秒进行一
次时间同步。

3-2
 第 3 章 配置 SNTP

图3-1 配置交换机 SNTP 服务器和客户端

交换机1 交换机2
SNTP服务器 SNTP客户端

首先，将交换机 1 配置为 SNTP 服务器

步骤1 配置SNTP服务器工作在anycast模式
Harbour(config)# config sntp-server mode 3

步骤2 使能SNTP服务器
Harbour(config)# config sntp-server enable

步骤3 显示SNTP服务器配置信息
Harbour(config)# show sntp-server

然后，将交换机 2 配置为 SNTP 客户端

步骤1 配置SNTP客户端工作在Anycast模式
Harbour(config)# config sntp-client mode 3

步骤2 调整SNTP客户端时间同步发送间隔为100秒
Harbour(config)# config sntp-client update-interval 100

步骤3 使能SNTP客户端
Harbour(config)# config sntp-client enable

步骤4 显示SNTP客户端配置信息
Harbour(config)# show sntp-client

3.4 常用调试功能

3.4.1 debug sntp

此命令用来查看 SNTP 模块的调试打印信息。

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

3-3
第 3 章 配置 SNTP

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用 no debug sntp 命令禁用此功能。

3.5 命令参考

3.5.1 cofig [sntp-client | sntp-server]

mode

cofig [sntp-client | sntp-server] mode <1-3>

命令格式

命令功能 配置 SNTP 的工作模式。

命令模式 配置模式

参数说明 参数 说明
[sntp-client | sntp-server] 配置客户端或服务器
<1-3> 工 作 模 式 ， <1-3> 分 别 代 表 unicast 、
multicast、anycast

默认状态 默认为 unicast 模式。

使用指导 在运行 SNTP 之前需要配置好 SNTP 的工作模式。SNTP 启动后就不能修

改它的工作模式了。

配置实例 配置 sntp 的客户端的工作模式是 unicast：

Harbour(config)#config sntp-client mode 1

config sntp-client server ipaddr

相关命令
no sntp-client mode
no sntp-server mode

3.5.2 config sntp-client

[enable|disable]

config sntp-client [enable | disable]

命令格式

3-4
 第 3 章 配置 SNTP

命令功能 使能或关闭 SNTP 客户端。

命令模式 配置模式

参数说明 参数 说明
[enable | disable] 使能或关闭

默认状态 SNTP 客户端默认关闭。

使用指导 在启动 SNTP 客户端以前必须先配置 SNTP 的工作模式。

Harbour(config)# config sntp-client enable

配置实例

cofig [sntp-client | sntp-server] mode <1-3>

相关命令

3.5.3 config sntp-server

[enable|disable]

config sntp-server [enable | disable]

命令格式

命令功能 使能或关闭 SNTP 服务器。

命令模式 配置模式

参数说明 参数 说明
[enable | disable] 使能或关闭

默认状态 SNTP 服务器的缺省状态是关闭的。

使用指导 在启动 SNTP 服务器以前必须先配置 SNTP 的工作模式。

Harbour(config)# config sntp-server enable

配置实例

cofig [sntp-client | sntp-server] mode <1-3>

相关命令

3-5
第 3 章 配置 SNTP

3.5.4 config sntp-server

broadcast-interval

config sntp-server broadcast-interval <64-1024>

命令格式

命令功能 配置服务器端的广播周期。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<64-1024> 服务器端的广播周期，单位：秒 64

使用指导 在 SNTP 的服务器工作在 multicast 模式下时，服务器以一定的周期向指定

的网络中广播自己的时间值。

配置实例 配置时间服务器的广播周期为 66 秒：
Harbour(config)#config sntp-server broadcast-interval 66

no sntp-server broadcast-interval
相关命令

3.5.5 config sntp-client server ipaddr

config sntp-client server ipaddr <A.B.C.D>

命令格式

命令功能 配置 SNTP 服务器的 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> SNTP服务器的IP地址

使用指导 当 SNTP 客户端工作在 unicast 模式下时，在启动 SNTP 之前需要先配置

SNTP 服务器的 IP 地址，以便客户端能和指定的服务器之间进行通信。

配置实例 配置客户端的服务器的 IP 地址为 10.5.4.66：

Harbour(config)#config sntp-client server ipaddr 10.5.4.66

3-6
 第 3 章 配置 SNTP

3.5.6 config sntp-client

update-interval

config sntp-client update-interval <64-1024>

命令格式

命令功能 配置客户端的刷新周期。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<64-1024> 客户端刷新周期，单位：秒 64

使用指导 客户端的刷新周期是指客户端每隔多长时间向服务器端发起一次时间请求
报文。当客户端工作在 anycast 和 unicast 模式下时，需要配置客户端的时
间刷新周期。

配置实例 将客户端的刷新周期设置为 100 秒：

Harbour(config)#config sntp-client update-interval 100

no sntp-client update-interval
相关命令

3.5.7 debug sntp

debug sntp
命令格式
no debug sntp

命令功能 输出 SNTP 相关的调试信息。

对应的 no 命令取消输出 SNTP 相关的调试信息。

命令模式 配置模式

Harbour(config)# debug sntp

配置实例

show debug sntp

相关命令

3.5.8 no sntp-client mode

no sntp-client mode
命令格式

3-7
第 3 章 配置 SNTP

命令功能 恢复 SNTP 客户端的工作模式为 unicast 模式。

命令模式 配置模式

配置实例 在 SNTP 客户端关闭的状态下，恢复 SNTP 客户端的工作模式为 unicast

模式：
Harbour(config)#no sntp-client mode

cofig [sntp-client | sntp-server] mode

相关命令

3.5.9 no sntp-client update-interval

no sntp-client update-interval
命令格式

命令功能 恢复 SNTP 客户端的缺省刷新周期 64 秒。

命令模式 配置模式

Harbour(config)#no sntp-client update-interval

配置实例

config sntp-client update-interval <64-1024>

相关命令

3.5.10 no sntp-server
broadcast-interval

no sntp-server broadcast-interval
命令格式

命令功能 恢复 SNTP 服务器的缺省广播周期 64 秒。

命令模式 配置模式

Harbour(config)#no sntp-server broadcast-interval

配置实例

config sntp-server broadcast-interval

相关命令

3.5.11 no sntp-server mode

no sntp-server mode
命令格式

3-8
 第 3 章 配置 SNTP

命令功能 恢复 SNTP 服务器的工作模式为 unicast 模式。

命令模式 配置模式

配置实例 在 SNTP 服务器关闭的状态下，恢复 SNTP 服务器的工作模式为 unicast

模式：
Harbour(config)#no sntp-server mode

cofig [sntp-client | sntp-server] mode

相关命令

3.5.12 show debug sntp

show debug sntp

命令格式

命令功能 显示 SNTP 模块 debug 配置状态。

命令模式 配置模式

Harbour(config)# show debug sntp

配置实例

debug sntp
相关命令

3.5.13 show sntp-client

show sntp-client
命令格式

命令功能 显示 SNTP 客户端的状态信息。

命令模式 配置模式

使用指导 该命令所显示的 SNTP 客户端的信息包括以下内容：

客户端的工作模式
时间服务器的 IP 地址
时间请求的发送间隔
SNTP 是否启动

Harbour(config)#show sntp-client
配置实例
------------sntp client's current state--------------
sntp-client are running.

3-9
第 3 章 配置 SNTP

sntp-client's mode is unicast.

sntp-server's IPAddress is 10.5.4.66.
sntp-client's update-interval is 64 seconds.

3.5.14 show sntp-server

show sntp-server
命令格式

命令功能 显示 SNTP 服务器的状态信息。

命令模式 配置模式

使用指导 该命令所显示的 SNTP 服务器端的信息包括以下内容：

服务器端的工作模式
服务器的时间广播周期
SNTP 是否启动

Harbour(config)#show sntp-server
配置实例
------------sntp server's current state--------------
sntp-server is running.
sntp-server's mode is unicast.

3-10
 第 4 章 日志管理

4 第4章 日志管理

4.1 概述

日志管理主要用来记录整个系统的运行情况以及用户操作行为。完整的日志管理能
够帮助管理员及时了解和监控系统的工作情况，并实时记录系统的异常信息。日志
信息来源于系统中所有的运行模块，日志系统完成信息的收集、管理、存储和显示。
日志信息可以显示到终端 monitor，这种方式主要用于调试和查看系统状态。也可以
存储到日志服务器 server，这种方式用于长期跟踪系统的运行情况以及用户的命令
行操作行为。

4.2 配置日志管理

4.2.1 日志功能基本配置

表4-1 日志功能基本配置常用命令
config syslog [enable|disable] 打开或关闭日志服务功能
config syslog type 配置所要记录的日志信息类型
config syslog lowest-level 配置所要记录日志信息的最低级别
record command-line 打开命令行操作日志记录功能
record valid-access 打开或关闭有效用户通过telnet登录成
功的日志记录功能
config virtual ipaddress 配置发送syslog信息和SNMP trap的
虚拟源IP地址

4.2.2 配置日志信息存储方式

表4-2 配置日志信息存储方式常用命令
config syslog server 打开或关闭日志信息保存到日志服务
[enable|disable] 器的功能
config syslog [add|delete] server 增加或删除一个日志服务器

4-1
第 4 章 日志管理

4.2.3 配置日志信息的显示方式

表4-3 配置日志信息显示方式常用命令
config syslog monitor-terminal 配置日志信息是否输出到用户终端
monitor [on|off] 打开或关闭在本终端显示日志信息的
功能
monitor timestamp 配置是否显示时间信息
monitor lowest-level 配置在终端可以显示的日志信息的最
低级别
monitor type 配置在终端可以显示的日志信息类型

4.2.4 查看日志管理的配置情况

表4-4 查看日志管理的配置情况常用命令
show syslog configuration 查看整个日志管理的配置信息
show monitor configuration 查看对本终端的日志显示属性的配置
情况

4.3 命令参考

4.3.1 config syslog [add|delete] server

config syslog [add|delete] server <A.B.C.D> {[port] <1-65535>}*1

命令格式 {[facility] <0-7>}*1

命令功能 增加或删除一个日志服务器。

命令模式 配置模式

参数说明 参数 说明
[add|delete] 增加或删除
<A.B.C.D> 日志服务器的IP地址
<1-65535> 日志服务器上接收日志进程的服务端口号
<0-7> 下接设备的编号

使用指导 可以使用一条命令配置日志服务器信息，也可以使用多条子命令进行配置。

4-2
 第 4 章 日志管理

一台 server 可能同时下接多个 syslog 设备。

配置实例 配置一个 IP 地址 10.12.3.4 的日志服务器，服务端口为 8808，facility 为 5：

Harbour(config)#config syslog add server 10.12.3.4 port 8808 facility
5
Successfully added syslog server 10.12.3.4
删除一个日志服务器，IP 地址为 10.1.4.1，服务端口为 6500，facility 为 1：
Harbour(config)#config syslog delete server 10.1.4.1 port 6500 facility
1
Successfully deleted syslog server 10.1.4.1

4.3.2 config syslog [enable|disable]

config syslog [enable|disable]

命令格式

命令功能 打开或关闭日志服务。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 打开或关闭

配置实例 打开日志服务功能：
Harbour(config)#config syslog enable
Successfully changed syslog service to enable

4.3.3 config syslog lowest-level

config syslog lowest-level <0-7>

命令格式

命令功能 配置所要记录日志信息的最低级别。

命令模式 配置模式

参数说明 参数 说明
<0-7> 日志信息级别

日志信息级别从0到7，依次为EMERG ，ALERT ，CRITERR，CRIT， ERR，

使用指导
WARNING，NOTICE，INFO，DEBUG。

配置实例 级别 3 和级别 3 以上（即级别 0－3）的日志信息将被记录：

4-3
第 4 章 日志管理

Harbour(config)#config syslog lowest-level 3

Successfully changed syslog service lowest-lever level 3 [ERR].

4.3.4 config syslog memory-record

config syslog memory-record [enable|disable]

命令格式

命令功能 配置是否启用保存 syslog 信息的功能。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 启用/禁用

默认状态 启用。

4.3.5 config syslog monitor-terminal

config syslog monitor-terminal [enable|disable]

命令格式

命令功能 打开或关闭终端显示日志信息的功能。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 打开或关闭

使用指导 该命令对所有终端起作用。

配置实例 允许日志信息输出到所有用户终端：
Harbour(config)#config syslog monitor-terminal enable
Successfully changed syslog service logto monitor-terminal to enable.

4.3.6 config syslog server

config syslog server [enable|disable]

命令格式

命令功能 打开或关闭日志信息保存到日志服务器的功能。

4-4
 第 4 章 日志管理

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 打开或关闭

使用指导 在配置之前，保证日志服务器服务程序已启动。

配置实例 允许日志保存到日志服务器：
Harbour(config)#config syslog server enable
Successfully changed syslog service logto server enable.
Warning: Syslog server config is empty.Please add syslog server.

4.3.7 config syslog type

config syslog type [<name>|all] [enable|disable]

命令格式

命令功能 配置日志管理是否对某一类型的日志信息进行记录。

命令模式 配置模式

参数说明 参数 说明
name 系统中支持的日志类型
all 支持的所有日志类型

可用show syslog configuration来查看日志类型，目前支持的类型有：AUTH，BGP，

使用指导
CLI，SYSLOG，DEVCTRL，ARP，DOT1X，NAS，OSPF，PORT，FDB，RADIUS，
RIP，ROUTE，SNMP，STP，SYSTEM，VLAN，WEB，SERVICE，DHCPR等。

配置实例 注册 AUTH 类型的日志信息，日志管理将对 AUTH 类型的日志信息进行记

录：
Harbour(config)#config syslog type auth enable
Successfully changed syslog type auth to enable.

show syslog configuration

相关命令

4.3.8 config virtual ipaddress

config virtual ipaddress [<A.B.C.D>|auto]

命令格式

命令功能 配置发送 syslog 信息和 SNMP trap 的虚拟源 IP 地址。

4-5
第 4 章 日志管理

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 虚拟源IP地址
auto 自动产生虚拟源IP地址

默认状态 默认为 auto。

show virtual ipaddress

相关命令

4.3.9 monitor [on|off]

monitor [on|off]
命令格式

命令功能 打开或关闭在本终端显示日志信息的功能。

命令模式 配置模式

参数说明 参数 说明
[on|off] 打开或关闭

使用指导 该命令只对本终端起作用。

配置实例 允许日志信息输出到本终端：
Harbour(config)#monitor on
Successfully changed your terminal display syslog messages.

4.3.10 monitor lowest-level

monitor lowest-level <0-7>

命令格式

命令功能 决定在本终端输出某一级别和某一级别以上的日志信息。

命令模式 配置模式

参数说明 参数 说明
<0-7> 日志信息级别

使用指导 该命令只对本终端起作用。目前支持的日志信息级别从 0 到 7，依次为

EMERG ALERT CRITERR CRIT ERR WARNING NOTICE INFO
4-6
 第 4 章 日志管理

EMERG，ALERT，CRITERR，CRIT，ERR，WARNING，NOTICE，INFO，
DEBUG。

配置实例 在本终端输出级别 3 和级别 3 以上类型的日志信息：

Harbour(config)#monitor lowest-level 3
Successfully changed monitor lowest-lever level 3 [ERR]。

4.3.11 monitor timestamp

monitor timestamp [none|time|datetime]

命令格式

命令功能 决定是否在本终端输出时间信息。

命令模式 配置模式

参数说明 参数 说明
none 不输出时间信息
time 输出时间信息
datetime 输出日期和时间信息

Harbour(config)#monitor timestamp datetime

配置实例

4.3.12 monitor type

monitor type [<typename>|all] [on|off]

命令格式

命令功能 配置在终端可以显示的日志信息类型。

命令模式 配置模式

参数说明 参数 说明
<typename> 日志信息类型
all 所有日志类型
[on|off] 是否显示

使用指导 该命令只对本终端起作用。目前支持的类型有：AUTH，BGP，CLI，
SYSLOG，DEVCTRL，ARP，DOT1X，NAS，OSPF，PORT，FDB，
RADIUS，RIP，ROUTE，SNMP，STP，SYSTEM，VLAN，WEB，SERVICE，
DHCPR 等。

4-7
第 4 章 日志管理

配置实例 在本终端输出所有类型的日志信息：
Harbour(config)#monitor type all on
Successfully changed to display all messages.

show syslog configuration

相关命令

4.3.13 record command-line

record command-line [enable|disable]

命令格式

命令功能 配置日志管理是否对命令行操作行为进行日志记录。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 是否进行日志记录

使用指导 命令行操作的日志信息级别为 6，即 INFO 类型。

配置实例 允许对命令行操作行为记录日志信息：
Harbour(config)#record command-line enable
Successfully changed syslog record CLI to enable.

4.3.14 record valid-access

record valid-access [enable|disable]

命令格式

命令功能 打开或关闭有效用户通过 telnet 登录成功的日志记录功能。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 打开或关闭

使用指导 命令行操作的日志信息级别为 5，即 NOTICE 类型。

配置实例 允许对有效用户通过 telnet 登录成功进行日志记录：

Harbour(config)#record valid-access enable

4-8
 第 4 章 日志管理

4.3.15 show monitor configuration

show monitor configuration

命令格式

命令功能 查看本终端的日志显示属性的配置信息。

命令模式 配置模式

Harbour(config)#show monitor configuration

配置实例
-------------------------------------------------------
Monitor has been on.
-------------------------------------------------------
Monitor show messages with none timestamp.
Monitor only display log messages that not lower than level 7 [DEBUG].
Monitor display messages of these types:
Monitor donot display messages of these types:
AUTH:BGP:CLI:SYSLOG:DEVCTRL:ARP:DOT1X:NAS:OSPF:PORT:FDB:RADIUS
:RIP:ROUTE:SNMP:STP:SYSTEM:VLAN:WEB:SERVICE:DHCPR:
-------------------------------------------------------

4.3.16 show syslog

show syslog
命令格式

命令功能 显示系统当前的 syslog 信息。

命令模式 只读模式

show syslog history

相关命令

4.3.17 show syslog configuration

show syslog configuration

命令格式

命令功能 显示日志管理的所有配置信息。

命令模式 配置模式

Harbour(config)#show syslog configuration

配置实例

4-9
第 4 章 日志管理

-------------------------------------------------------
Syslog Service is up.
--Service Syslog logto flashfile is up.
--Service Syslog logto server is down.
Have no syslog server.
--Service Syslog logto monitor-terminal is up.
-------------------------------------------------------
--Log messages that not lower than level 4 [WARNING].
--Log these types messages:
--Not log these types messages:
:AUTH:BGP:CLI:SYSLOG:DEVCTRL:ARP:DOT1X:NAS:OSPF:PORT:FDB
:RADIUS:RIP:ROUTE:SNMP:STP:SYSTEM:VLAN:WEB:SERVICE:DHCPR
Record command-line is disabled
-------------------------------------------------------

4.3.18 show syslog history

show syslog history

命令格式

命令功能 显示系统重启之前的 syslog 信息。

命令模式 只读模式

4-10
 第 5 章 配置 NMS

5 第5章 配置 NMS

5.1 概述

NMS（Net Management service，网络管理服务）可以实现访问控制，提高系统的

安全性。通常情况下，只要知道合法的用户名和密码就可以访问交换机。有时我们
出于安全性的考虑，希望用户的 IP 地址是某个特定的或是一个范围，这时就可以打
开控制访问服务，将 IP 地址加入到访问配置表。当用户登录时，交换机首先验证该
用户 IP 地址的合法性，如果 IP 合法，才会验证用户名和密码的合法性。
例如，管理员 A 管理设备 B，A 有合法的用户名和密码，工作地点在某机房，IP 网
段为 10.1.0.* 。设备 B 中的访问控制配置包括：管理员 A 的用户名和密码，访问
控制为允许 10.1.0.*网段的设备访问。如果 A 以合法的 IP 访问，并且用户名和密码
通过验证，B 接受 A 访问；如果 A 在其它地方，以非法的 IP 访问，B 拒绝 A 访问。

访问方式

交换机的访问方式包括远程登录（Telnet）和简单网络管理协议（SNMP）
。针对这
些访问方式，可以通过相应的访问控制命令进行配置，以加强对交换机访问控制的
管理。

访问控制组

配置交换机的访问控制，必须先创建一个 NMS 访问控制组 nms-access-profile。

NMS 访问控制组的名称最长为 19 个字符，只能由数字、大小写字母和下划线组成。

5.2 配置NMS

5.2.1 配置NMS访问控制组

配置 NMS 访问控制组的前提是 Telnet 或 SNMP 服务已经打开，客户端才能够登录

5-1
第 5 章 配置 NMS

进行访问控制。
对于 Telnet 和 SNMP 访问方式，配置 NMS 访问控制组的步骤相似，都是以访问控
制组为配置单位，配置访问控制方式、包含的 IP 地址和 IP 网段。

配置步骤

步骤1 config access-control {[telnet|snmp]}*1 on 打开访问控制开关

步骤2 create nms-access-profile 创建一个访问控制组
<access_profile_name>
步骤3 config nms-access-profile 允许或禁止Telnet访问控制
<access_profile_name> telnet
[enable|disable]
步骤4 config nms-access-profile 允许或禁止SNMP访问控制
<access_profile_name> snmp
[enable|disable]
步骤5 config nms-access-profile 向访问控制组中添加IP地址
<access_profile_name> add ipaddress 网段
<A.B.C.D/M>
步骤6 show nms-access-profile 显示访问控制组的配置信息
{<access_profile_name>}*1

所有的 IP 地址只能够是 A、B、C 类地址，其他地址无效。

提示

5.3 配置案例

案例描述

创建一个访问控制组 group1，配置一个 IP 网段，使得属于此网段的 IP 地址能够

Telnet 到交换机上。

配置步骤

步骤1 打开访问控制的开关
Harbour(config)# config access-control on

步骤2 创建一个访问控制组group1
Harbour(config)# create nms-access-profile group1

步骤3 将访问控制组的Telnet开关设为允许访问

5-2
 第 5 章 配置 NMS

Harbour(config)# config nms-access-profile group1 telnet enable

步骤4 向访问控制组中添加地址网段，属于此网段的IP地址能够Telnet到交换机上
Harbour(config)# config nms-access-profile group1 add ipaddress
12.3.1.0/24
步骤5 想要修改刚才添加的网段，先从访问控制组中删去此网段
Harbour(config)# config nms-access-profile group1 delete ipaddress
12.3.1.0/24
步骤6 重新向访问控制组中添加地址网段
Harbour(config)# config nms-access-profile group1 add ipaddress
12.4.1.0/24
步骤7 查看配置结果
Harbour(config)# show nms-access-profile

5.4 命令参考

5.4.1 config access-control

config access-control {[telnet|snmp]}*1 [on|off]

命令格式

命令功能 打开或关闭访问控制。

命令模式 配置模式

参数说明 参数 说明
[telnet|snmp] 配置telnet或snmp的访问控制
[on|off] 打开或关闭

配置实例 打开访问控制功能，包括 telnet 和 snmp：

Harbour(config)#config access-control on
Successfully changed access-control on.

show access-control {[telnet|snmp]}*1

相关命令

5.4.2 config nms-access-profile add

ipaddress

config nms-access-profile <access_profile_name> add ipaddress

命令格式 <A.B.C.D/M>
config nms-access-profile <access_profile_name> add ipaddress
<A.B.C.D> <A.B.C.D>

5-3
第 5 章 配置 NMS

命令功能 在指定的访问控制组里添加 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
<A.B.C.D/M> IP地址和子网掩码
<A.B.C.D> <A.B.C.D> IP地址和子网掩码

配置实例 在 admin 配置表里添加 IP 地址 10.5.3.1，子网为 255.255.255.0：

Harbour(config)#config nms-access-profile admin add ipaddress
10.5.3.1/24

config nms-access-profile <access_profile_name> delete ipaddress [all

相关命令 |<A.B.C.D/M>]
config nms-access-profile <access_profile_name> delete ipaddress
<A.B.C.D> <A.B.C.D>

5.4.3 config nms-access-profile delete

ipaddress

config nms-access-profile <access_profile_name> delete ipaddress [all

命令格式 |<A.B.C.D/M>]
config nms-access-profile <access_profile_name> delete ipaddress
<A.B.C.D> <A.B.C.D>

命令功能 在指定的访问控制组里删除 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
all 所有IP地址
<A.B.C.D/M> IP地址和子网掩码
<A.B.C.D> <A.B.C.D> IP地址和子网掩码

配置实例 在 admin 配置表里删除 IP 地址 10.5.3.1，其子网为 255.255.255.0：

Harbour(config)#config nms-access-profile admin delete ipaddress
10.5.3.1/24

config nms-access-profile <access_profile_name> add ipaddress

相关命令 <A.B.C.D/M>
config nms-access-profile <access_profile_name> add ipaddress

5-4
 第 5 章 配置 NMS

<A.B.C.D> <A.B.C.D>

5.4.4 config nms-access-profile snmp

config nms-access-profile <access_profile_name> snmp [enable|disable]

命令格式

命令功能 允许或禁止 SNMP 访问控制。

命令模式 配置模式

参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
[enable|disable] 允许或禁止

配置实例 允许 admin 进行 SNMP 访问控制：

Harbour(config)#config nms-access-profile admin snmp enable
Config profile admin's snmp-access enable success.

show nms-access-profile {<access_profile_name>}*1

相关命令

5.4.5 config nms-access-profile telnet

config nms-access-profile <access_profile_name> telnet

命令格式 [enable|disable]

命令功能 允许或禁止 Telnet 访问控制。

命令模式 配置模式

参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称
[enable|disable] 允许或禁止

配置实例 允许 admin 进行 telnet 访问控制：

Harbour(config)#config nms-access-profile admin telnet enable
Config profile admin's telnet-access enable success.

show nms-access-profile {<access_profile_name>}*1

相关命令

5-5
第 5 章 配置 NMS

5.4.6 create nms-access-profile

create nms-access-profile <access_profile_name>

命令格式

命令功能 创建一个 NMS 访问控制组。

命令模式 配置模式

参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称

使用指导 NMS 访问控制组的名称不能超过 20 个字符。

Harbour(config)#create nms-access-profile admin

配置实例
Profile admin added success.

delete nms-access-profile
相关命令

5.4.7 delete nms-access-profile

delete nms-access-profile <access_profile_name>

命令格式

命令功能 删除一个 NMS 访问控制组。

命令模式 配置模式

参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称

Harbour(config)#delete nms-access-profile admin

配置实例
Profile admin delete success.

create nms-access-profile
相关命令

5.4.8 show access-control

show access-control {[telnet|snmp]}*1

命令格式

命令功能 查看访问控制功能是否打开。

5-6
 第 5 章 配置 NMS

命令模式 配置模式

参数说明 参数 说明
[telnet|snmp] 查看telnet或snmp的访问控制

配置实例 查看所有的访问控制：
Harbour(config)#show access-control
Telnet access-control is : on
SNMP access-control is : on

config access-control {[telnet|snmp]}*1 [on|off]

相关命令

5.4.9 show nms-access-profile

show nms-access-profile {<access_profile_name>}*1

命令格式

命令功能 查看访问控制组的配置情况。

命令模式 配置模式

参数说明 参数 说明
<access_profile_name> NMS访问控制组的名称

配置实例 查看访问控制组 admin 的配置情况：

Harbour(config)#show nms-access-profile admin
==============================================================
Access profile name : admin
Telnet access status : disable
SNMP access status : disable
----------------------------------------------------------------
Address List:
----------------------------------------------------------------
No ID Network-IP NetMask
----------------------------------------------------------------
1 0 10.5.5.1 255.255.255.0
2 1 10.5.3.0 255.255.255.0
----------------------------------------------------------------
Total 2 Addresses.
==============================================================

5-7
 第 6 章 配置 SNMP

6 第6章 配置 SNMP

6.1 概述

6.1.1 SNMP概述

随着网络技术的飞速发展，网络的数量也越来越多，而网络中的设备来自各个不同
的厂家，如何管理这些设备就变得非常重要。SNMP 就是基于这种需要而产生的。
SNMP（Simple Network Management Protocol，简单网络管理协议）是目前在数
据通讯网中使用得最广泛的网络管理协议，也是被广泛接受和实际使用的工业标准。
它的设计目标是使管理信息能在网络任意两点间传送，使网络管理员可以在网络中
的任何节点检索信息、修改配制、查找故障、诊断故障、规划流量及生成报告。它
采用轮询机制，提供最基本的功能集。SNMP 是一个应用层协议，在传输层采用
UDP 协议。
基于 TCP/IP 的网络管理分成 2 个进程：
用户使用的网络管理站，也叫管理进程；
被管设备端和管理相关的软件叫作代理程序（Agent）或代理进程。
基于 TCP/IP 的网络管理包含 3 个组成部分：
一个管理信息库 MIB(Management Information Base)，管理信息库里包含所有
代理进程（SNMP Agent）的所有可以被查询和修改的参数；
关于 MIB 的一套共用的结构和表示符号；
管理进程和代理进程之间的通讯协议，叫作简单网络管理协议 SNMP（Simple
Network Management Protocol），SNMP 中使用 UDP 来进行管理进程和代理
进程之间的通讯。
SNMP 协议 v1 版本定义了 5 种报文：
get-request
get-next-request
set-request
get-response

6-1
第 6 章 配置 SNMP

trap：代理进程 Agent 主动向管理进程发出报文，通知有某些事件发生，比如端

口掉线等。

6.1.2 RMON概述

远端监视器 RMON（Remote Monitor）是 IETF 定义的一种 MIB，是对 MIB II 标准

最重要的增强，主要实现对一个网段乃至整个网络数据流量的监视功能，是目前应
用相当广泛的网络管理标准之一。它的实现完全基于 SNMP 体系机构（这是它的一
个突出特点），包括 HammerView 和运行在各网段设备上的 Agent 两部分。
RMON Agent 在网络监视器或网络探测器上，对其端口所连接的网段上的各种流量
信息进行跟踪统计：如某段时间内某网段上的报文总数，或发往某台主机的正确报
文总数等。它使 SNMP 更有效、更积极主动地监测远程网络设备，为监控子网的运
行提供了一种高效的手段。这种方法能够减少网管站同代理间的通讯流量，从而可
以简单而有力地管理大型互连网络。另一方面，RMON 允许有多个监控者，它可用
两种方法收集数据：一种是通过专用的 RMON probe（探测仪），HammerView 直
接从 RMON probe 获取管理信息并控制网络资源，这种方式可以获取 RMON MIB
的全部信息；另一种方法是将 RMON Agent 直接植入网络设备（路由器、交换机、
HUB 等）使它们成为带 RMON probe 功能的网络设施，HammerView 用 SNMP 的
基本命令与其交换数据信息，收集网络管理信息，但这种方式受设备资源限制，一
般不能获取 RMON MIB 的所有数据，大多数只收集四个组的信息。目前 HOS 以第
二种方法实现 RMON。
RMON MIB 由一组统计数据、分析数据和诊断数据组成。不象标准 MIB 仅提供被
管理对象大量的关于端口的原始数据，它提供的是一个网段的统计数据和计算结果。
通过运行在网络监视器上的支持 RMON 的 SNMP Agent，HammerView 可以获得
与被管理网络设备接口相连的网段上的整体流量、错误统计和性能统计等信息，从
而实现对网络的管理。根据 RFC，RMON 只指定了以太网部分的标准，目前 RMON
Agent 只支持统计、历史、告警、事件四个组。

6.2 命令参考

6.2.1 config snmp community

config snmp community [readonly|readwrite] <string>

命令格式

6-2
 第 6 章 配置 SNMP

命令功能 配置 SNMP 参数。

命令模式 配置模式

参数说明 参数 说明 缺省配置
[readonly|readwrite] 读确认/读写确认字符串 ——
<string> 字符串值 readonly：public；
readwrite：private

使用指导 community 字符串为远程网络管理员配置交换机提供了一种用户确认机

制。在交换机上有两种 Community 字符串：读确认字符串（readonly）允
许对交换机进行只读访问；读写确认字符串（readwrite）提供了对交换机
读写操作的权限。

Harbour(config)# config snmp community readonly harbour

配置实例

show snmp community-string

相关命令

6.2.2 config snmp rmon

config snmp rmon [enable|disable]

命令格式

命令功能 配置 SNMP 的 RMON 服务。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 打开或关闭

Harbour(config)# config snmp rmon enable

配置实例

6.2.3 config snmp trapreceiver

config snmp trapreceiver add <A.B.C.D> version [v1|v2c] {community

命令格式 <string>}*1
config snmp trapreceiver delete <A.B.C.D>

命令功能 添加接收 trap 信息的主机（trapreceiver）。

删除接收 trap 信息的主机（trapreceiver）。

6-3
第 6 章 配置 SNMP

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> traprceiver的IP地址
v1/v2c trap的两个版本
<string> community字符串

使用指导 如果这个 traprceiver 同时还承担对交换机的远程配置，那么可以为其设置

community 字符串。

配置实例 添加一个 trapreceiver，地址为 10.1.30.100，trap 的版本是 v1：

Harbour(config)#config snmp trapreceiver add 10.1.30.100 version v1
Successfully added trapreceiver IP address is 10.1.30.100
The trap version is v1
The default trap community is public

删除一个地址为 10.1.20.20 的 trapreceiver：

Harbour(config)#config snmp trapreceiver delete 10.1.20.20

show snmp trapreceiver

相关命令

6.2.4 service snmp

service snmp enable

命令格式
service snmp disable

命令功能 打开 SNMP 服务。

关闭 SNMP 服务。

命令模式 配置模式

Harbour(config)# service snmp enable

配置实例
Successfully changed snmp agent service to up.

Harbour(config)# service snmp disable

Successfully changed snmp agent service to down.

show service
相关命令

6-4
 第 6 章 配置 SNMP

6.2.5 service snmp trap

service snmp trap [enable|disable]

命令格式

命令功能 打开或关闭代理发送 trap 报文功能。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 打开或关闭

Harbour(config)# service snmp trap enable

配置实例

6.2.6 service snmp trap

[hlink|spanning-tree]

service snmp trap

命令格式 [hlink|spanning-tree|maclimit|loop-detect|multicast-limit] [on|off]

命令功能 允许或禁止部分模块的 SNMP trap 功能。

命令模式 配置模式

参数说明 参数 说明
hlink 对H.Link模块的代理发送trap功能进行控制
spanning-tree 对stp和rstp模块的代理发送trap功能进行控制
maclimit MAC Limit执行惩罚的同时，向网关服务器发送Trap
loop-detect 对loop-detect模块的代理发送trap功能进行控制
multicast-limit 组播抑制功能的同时，向网关服务器发送Trap
on 允许代理发送trap报文功能
off 禁止代理发送trap报文功能

使用指导 如果没有打开代理发送 trap 报文功能，

即使选择参数 on 允许代理发送 trap
报文功能，该模块的代理发送 trap 报文功能仍然属于关闭状态。
H.Link 模块的 trap 内容包括：端口的使能、禁止、link-up、link-down,设备
的登录、退出、冷启动、热启动、同步成功、同步失败；spanning-tree 模
块的 trap 内容包括：根桥的改变、拓扑的改变。

配置实例 当一个端口由于环路检测 disable 后，系统将向网管发送一个 trap 报文：

6-5
第 6 章 配置 SNMP

Harbour(config)# service snmp trap loop-detect on

service snmp trap

相关命令
show snmp trap status

6.2.7 show snmp community-string

show snmp community-string

命令格式

命令功能 显示 SNMP 的 community 字符串。

命令模式 配置模式

Harbour(config)# show snmp community-string

配置实例

config snmp community

相关命令

6.2.8 show snmp trap status

show snmp trap status

命令格式

命令功能 显示代理发送 trap 报文功能的状态。

命令模式 配置模式

配置实例 显示 SNMP 的 trap 控制状态：

Harbour(config)# show snmp trap status
Snmp hlink trap: on.
Snmp spanning-tree trap: on.
Service snmp trap is disabled.

6.2.9 show snmp trapreceiver

show snmp trapreceiver

命令格式

命令功能 显示 SNMP 的 trapreceiver 信息。

命令模式 配置模式

6-6
 第 6 章 配置 SNMP

Harbour(config)#show snmp trapreceiver

配置实例
IP address Version Community
12.12.12.1 v1 public
Total 1 trapreceiver IP address in system.

config snmp trapreceiver

相关命令

6.2.10 snmp set port ifspeed

snmp set port <portno> ifspeed [<1-1000000000>|auto]

命令格式

命令功能 网管设置用户对端口速度的配置。

命令模式 配置模式

参数说明 参数 说明
<portno> 端口号
<1-1000000000> 端口速率，单位：bps
auto 缺省状态，代表ifspeed的配置无效，可以用来取消配置

snmp show port ifspeed

相关命令

6.2.11 snmp show port ifspeed

snmp show port <portno> ifspeed

命令格式

命令功能 显示通过 SNMP 读取的端口的显示速率。

命令模式 配置模式

参数说明 参数 说明
<portno> 端口号

snmp set port ifspeed

相关命令

6-7
 第 7 章 配置端口

7 第7章 配置端口

7.1 配置端口

交换机的端口可以连接 10Base-T、100Base-T 或者 1000Base-T 网络，可以工作

在半双工或全双工模式，要求用户根据实际情况对其进行配置。
缺省情况下，所有端口为自适应模式，根据端口对端的性能自动调整端口的速
率和双工模式。
也可以手工配置端口速率、双工模式和流控模式。流控功能与自协商是相对独
立的，可以分别配置。

7.1.1 配置端口基本参数

配置端口基本参数的常用命令如下：
config port 使能或关闭指定的端口
config port auto 配置端口的自适应模式
config port description 配置端口的端口描述
config port speed 配置端口的速率
config port mode 配置千兆电口的主从模式
config port duplex 配置端口的双工模式
config port flowcontrol 配置端口的流控
config port flowrate 配置端口的收发包速率
config port learn 配置端口的地址学习功能
config port snmp trap 配置端口的link trap功能
loopback port 配置端口自环测试

7.1.2 配置案例

案例描述
关闭端口 3 和 4 的自适应功能，并设置端口的速度为 10Mbps，双工模式为半双工，
同时使能端口的地址学习功能。

7-1
第 7 章 配置端口

配置步骤
步骤1 关闭端口3和4的自适应功能
Harbour(config)#config port 3,4 auto off
步骤2 设置端口3和4的速度为10Mbps
Harbour(config)#config port 3,4 speed 10
步骤3 设置端口3和4的双工模式为半双工
Harbour(config)#config port 3,4 duplex half
步骤4 使能端口的地址学习功能
Harbour(config)#config port 3,4 learn on
步骤5 查看端口3的配置情况
Harbour(config)#show port 3
-------------------------------------------------------------
Port:3's Configuration Information

Link State : Up Port State : Enabled

Port Type : 100BaseT Speed : 10
Autonegotiation : Disabled Duplex : Half
Flowcontrol : Disabled Learn State : Enabled

Port VLAN ID : 2047

Port VLAN Name : default
Port Summary : normal
-------------------------------------------------------------

7.2 配置端口镜像

7.2.1 概述

端口镜像通过将一个或多个端口的数据复制到指定的端口上来实现网络流量分析和
错误诊断。端口镜像基于如下规则：
在一个设备中，只能将一个端口作为镜像的目标端口。
可以将多个端口镜像到一个端口。
可以分别设置镜像端口的发包或者收包。

7.2.2 配置案例

配置镜像目标端口为 5，镜像源端口为 6-12 的发送包，镜像源端口 25-30 的接收包。

配置步骤
步骤1 配置镜像目标端口为5
Harbour(config)#config mirrror 1 to 5
步骤2 镜像源端口为6-12的发送包
Harbour(config)#config mirroring 1 add port 6-12 egress

7-2
 第 7 章 配置端口

步骤3 镜像源端口25-30的接收包
Harbour(config)#config mirroring 1 add port 25-30 ingress
步骤4 显示端口镜像信息
Harbour(config)#show mirroring
Mirroring information:
The port which mirror to : 5
The ports which egress traffic mirror from : 6 7 8 9 10 11 12
The ports which ingress traffic mirror from : 25 26 27 28 29 30

7.3 配置安全端口

7.3.1 概述

可以对端口的访问使能进行控制，使得端口可以按要求被配置在某个范围内允许使
用，从而达到端口安全的目的。端口安全功能基于如下规则：
1. 每个端口既可以工作在安全模式又可以工作在非安全模式，可以在两种模式之
间进行任意的切换。
2. 端口既可以允许所有的地址使用（此时工作在非安全模式，此模式也是端口的
缺省模式），也可以允许部分或不允许部分地址进行使用。当然，如果需要的话也可
配置为所有的地址都不能使用。
3. 对于用户配置的静态 FDB 地址，无论端口是在安全或非安全模式，这些静态的
FDB 地址在对应的端口上都可以进行访问。也就是说，只要用户配置了某个端口的
静态 FDB，在该端口的地址就可以正常工作。
4. 端口安全不能使用在端口学习状态关闭的情况下。
实现机制
控制端口的访问是通过设置端口的学习位来实现的，即禁止端口的硬件地址学习能
力，同时将需要进行源地址学习的包送往 CPU，由软件处理该地址学习与否，从而
达到基于包的源 MAC 地址控制端口转发。如果该端口允许该 MAC 地址的包访问就
由软件设置软/硬件二层转发表，反之则不设置。

7.3.2 配置案例

案例描述
配置端口 default vlan 中的 2/3 为安全端口，允许 MAC 地址为 001122334455 和

7-3
第 7 章 配置端口

001122334466 的用户访问网络资源。
配置步骤
步骤1 创建地址组
Harbour(config)# create macgroup mg1
步骤2 向地址组中添加MAC地址001122334455 和001122334466
Harbour(config)# config macgroup mg1 add 001122334455
Harbour(config)# config macgroup mg1 add 001122334466
步骤3 查看MAC地址组的信息：包括地址组的名称、所有的地址、与其进行连接的
所有的端口。不输入地址组的名称将显示所有地址组的信息。
Harbour(config)# show macgroup

Mac Filter information

---------------------------------------
Name : mg1
Mac List: 001122334466 001122334455
---------------------------------------
total 2 mac for this mac filter showed.

Mac filter <mg1> have no port connected with.

步骤4 配置地址组与安全端口关联
Harbour(config)# config port 1 secure add macgroup mg1
步骤5 显示端口1的安全信息
Harbour(config)# show perport 1
Port secure information.
---------------------------------------------------------
all macgroups connected to Port Num <1> is : mg1.
The current port works in secure mode,its control status is permit.
---------------------------------------------------------

7.4 配置Load Sharing

7.4.1 概述

创建多端口负载均衡组（Load Sharing）可以提升交换机之间的带宽，增加冗余备
份功能。Load Sharing 把多个物理端口捆绑在一起当作一个逻辑端口来使用。例如
在 VLAN 中所看到的 Load Sharing 就是一个逻辑端口。如果 Load Sharing 中的一
个端口发生堵塞或故障，那么数据包会被分配到该 Load Sharing 中的其他端口进行
传输。如果这个坏掉的端口恢复正常，那么数据包将分配到该 Load Sharing 中的所
有端口进行传输，从而提升交换机之间的带宽。当一台交换机的两个以上端口要同
时向相邻的交换机发送数据时，创建 Load Sharing 非常有助于提高传输速度。同时，
Load Sharing 对客户间的数据包的顺序提供了保障。

7-4
 第 7 章 配置端口

在相互连接的两台交换机上必须都设置 Load Sharing，并且要

对每对直接连接的两个做对应配置，否则会在网络中造成回路，
注意 导致交换机不能正常工作。

7.4.2 Load Sharing配置规则

要设置 Load Sharing，必须创建 Load Sharing 的一组端口。Load Sharing 定义必

须遵从以下规则：

用 Load Sharing 连接两个交换机时，要求 Switch 1 中 Load Sharing 的端口和

Switch 2 中 Load Sharing 的端口按端口号大小次序依次对应连接。例如，Switch
1 的 Load Sharing 组中包括端口 1、2、3、4，Switch 2 的 Load Sharing 组中
包括端口 6、7、9、10，当两台交换机进行 Load Sharing 连接时，端口连接的
对应关系为：1－6，2－7，3－9，4－10。
建议 Load Sharing 成员端口的速率保持一致，且必须处于全双工状态。
1 个 Load Sharing 组相当于一个端口，因此在配置时，不得更改从端口的参数。
配置的 load Sharing 组中所有成员的自学习功能必须保证一致，推荐 load
Sharing 组的成员端口都处于自学习功能打开状态。
定义一个 Load Sharing 组时要选取其中的一个端口作为主端口，这个主端口在
逻辑上代表这个 Load Sharing 组。
一个 Load Sharing 组中的所有端口必须属于同一 VLAN，且端口的 tag 模式也
要相同。
当端口工作于 secure 模式时，不能创建 Load sharing。
当从端口 up，而主端口 down 的情况下，load sharing 会创建失败。
Config port [<portlist>|all] [normal|secure] 中 portlist 不能包含 Load sharing 从
端口号。
Config port [<portlist>|all] secure [permit|deny]中 portlist 不能包含 Load
sharing 从端口号。
Config port [<portlist>|all] secure [add|delete] macgroup [<macfiltername>|all]
中 portlist 不能包含 Load sharing 从端口号。

7.4.3 配置案例

定义一个 Load Sharing 组，包含端口 10-14，并以端口 12 为逻辑上的主端口。其

中，端口 12 在逻辑上代表物理端口 10、11、12、13、14。shaing 成员端口的转发

7-5
第 7 章 配置端口

模式基于源和目的 MAC 地址。

配置步骤
步骤1 定义Load Sharing组，包含端口10-14，并以端口12为逻辑上的主端口
Harbour(config)#create sharing 12 grouping 10-14
步骤2 shaing成员端口的转发模式基于源和目的MAC地址
Harbour(config)#config sharing 12 select-mode sdmac
步骤3 查看Load Sharing
Harbour(config)#show sharing

Sharing information:
Master Port: 12 Group Ports: 10 11 12 13 14
Forwarding Port Selecting Mode : Source mac and Destination mac
address

在实际组网中，主端口会随实际物理网络连接状态的变化而改变。创建了 Load
Sharing 后，在配置 VLAN 或 STP 时将该 Load Sharing 作为一个逻辑端口使用，
使用当前状态下该 Load Sharing 逻辑上的主端口（如上例中的端口 12 代表整个
Load Sharing 组中的所有端口）指定该 Load Sharing。进行 VLAN 配置时，对该主
端口的操作等同于对该 Load Sharing 组中的所有端口操作，并且将不能再对 Load
Sharing 中的其他非主端口的端口进行操作。这样，通过对主端口的配置就可以完
成对 Load Sharing 中所有端口的配置。
例如：关闭 Load Sharing 组中的端口 10，11，12，13，14：
配置步骤
步骤1 定义Load Sharing组，包含端口10-14，并以端口12为逻辑上的主端口
Harbour(config)#create sharing 12 grouping 10-14
步骤2 关闭Load Sharing组中的端口10，11，12，13，14
Harbour(config)#config port 12 disable

7.5 下行环路检测

7.5.1 概述

如果交换机端口的下游存在不支持 STP 协议的设备，且这些不支持 STP 协议的设

备的链路存在环路，则会形成广播风暴，从而影响整个网络的正常运行。针对这一
问题的解决方法是：对端口下游链路环路进行检测，如果检测到交换机端口的下游
存在环路，则自动关闭这个端口。
可以使用命令 config loopdetect 配置下行环路检测（Loop Detect）。使能端口环路

7-6
 第 7 章 配置端口

检测后，如果端口下游存在环路，该端口被关闭。在人工检查并排除端口下游的环
路后，要使端口恢复正常，请先 disable 该端口，再 enable 该端口。

7.5.2 配置案例

假设端口 22 的下游存在环路。在使能端口环路检测功能之前，可以看到该端口的
Port State 为 Enabled。使能端口环路检测功能之后再查看端口 22 的信息，可以看
到该端口的 Port State 为 Disabled（self_looped）。
配置步骤
步骤1 查看端口22的信息
Harbour(config)#show port 22

--------------------------------------------------------------
Port:22 's Configuration Information

Link State : Up Port State : Enabled

Port Type : 100BaseT Speed : 100
Autonegotiation : Enabled Duplex : Full
Flowcontrol : Disabled Learn State : Enabled

Port VLAN ID : 2047

Port VLAN Name : default
Port Summary : normal
--------------------------------------------------------------
步骤2 使能端口环路检测功能
Harbour(config)#config loopdetect enable
步骤3 查看端口22的信息
Harbour(config)#show port 22

--------------------------------------------------------------
Port:22 's Configuration Information

Link State : Up Port State : Disabled

(self_looped)
Port Type : 100BaseT Speed : 100
Autonegotiation : Enabled Duplex : Full
Flowcontrol : Disabled Learn State : Enabled

Port VLAN ID : 2047

Port VLAN Name : default
Port Summary : normal
--------------------------------------------------------------
步骤4 人工检查并排除端口下游的环路后，重启动端口，使端口恢复正常
Harbour(config)#config port 22 disable
Harbour(config)# config port 22 enable

7-7
第 7 章 配置端口

7.6 广播包抑制

广播包抑制（Boradcast Limit）功能可以有效地控制端口每秒收到的广播包数量，
有效地防止广播攻击。

7.6.1 配置案例

使能广播包抑制功能，每个端口每秒最多接收 10000 个广播包，超过此值的广播包

将被丢弃。
配置步骤
步骤1 使能广播包抑制功能
Harbour(config)# config broadcast_limit enable
步骤2 配置端口的广播包接收数量上限，每个端口每秒最多接收4096个广播包
Harbour(config)# config broadcast_limit 4096
步骤3 显示广播包抑制功能的配置状态
Harbour(config)#show broadcast_limit

State Value
_ _ _ _ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _

enable 4096

7.7 端口组播智能抑制

在缺省状态下，端口组播智能抑制功能是关闭的。使能端口组播智能抑制功能后，
可以配置组播抑制的阈值以及组播速率超过阈值的行为。
配置案例
步骤1 使能端口组播智能抑制功能
Harbour(config)# config multicast limit enable
步骤2 配置组播抑制的阈值
Harbour(config)# config multicast limit 4000
步骤3 配置组播速率超过阈值的行为：向网管发警告，不关闭该端口
Harbour(config)# config multicast limit snmp-trap on disable-port
on
步骤4 配置组播抑制的端口统计抽样间隔和样本大小
Harbour(config)# config multicast limit sample interval 10 number
40

7-8
 第 7 章 配置端口

7.8 端口监视

为了应付网络上出现大量的攻击报文，可以采取关掉端口的方法，使交换机在有攻
击报文进入的端口暂时不接收报文，这样可以避免网络的攻击。端口监视就是实现
这一目的的。端口监视包括端口监视抑制和端口监视镜像。端口监视抑制主要依据
端口广播报文的数量或端口的流量来判断是否关闭端口。端口监视镜像主要依据端
口广播报文的数量或端口的流量来判断是否把端口镜像到第三方所连接的端口，镜
像过去之后，经过第三方的分析，判断是否有非法数据流，进而决定关闭受攻击的
端口。

可以配置交换机的端口加入端口监视镜像或监视抑制的功能
中，但同一时刻一个端口只能选取一个功能。
注意

7.8.1 端口监视镜像

默认情况下，端口监视镜像功能是关闭的。

端口监视镜像和端口镜像（mirror to）不能同时启动。
注意

配置步骤
步骤1 config port-monitor mirror 使能端口监视镜像功能
步骤2 config port-monitor add port bcast 增加监视广播包的端口
步骤3 config port-monitor add port all 增加监视所有类型包流量的端口
步骤4 show port-monitor states 显示端口监视信息

使用命令 config port-monitor delete port 可以使端口退出端口监视功能。

7.8.2 端口监视抑制

默认情况下，端口监视抑制功能是关闭的。

7-9
第 7 章 配置端口

diable 的端口不能启动端口监视抑制功能。
注意

配置步骤
步骤1 config port-monitor restrain 使能端口监视抑制端口功能
步骤2 config port-monitor add port bcast 增加监视广播包的端口
步骤3 config port-monitor add port all 增加监视所有类型包流量的端口
步骤4 show port-monitor states 显示端口监视信息

使用命令 config port-monitor delete port 可以使端口退出端口监视功能。

7.9 命令参考

7.9.1 config broadcast_limit

config broadcast_limit <1-262143>

命令格式

命令功能 配置端口的广播包接收数量上限。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<1-262143> 广播包接收数量上限 4096

使用指导 配置每个端口每秒最多可接收的广播包数量，超过此值的广播包将被丢弃。

Harbour(config)# config broadcast_limit 4096

配置实例

config broadcast_limit [enable|disable]

相关命令
show broadcast_limit

7.9.2 config broadcast_limit

[enable|disable]

config broadcast_limit [enable|disable]

命令格式

命令功能 使能/关闭广播包抑制功能。

7-10
 第 7 章 配置端口

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 使能/关闭

Harbour(config)# config broadcast_limit enable

配置实例

config broadcast_limit
相关命令
show broadcast_limit

7.9.3 config loopdetect

config loopdetect enable

命令格式
config loopdetect disable

命令功能 使能端口环路检测。
关闭端口环路检测。

命令模式 配置模式

Harbour(config)# config loopdetect enable

配置实例

config port
相关命令
show port

7.9.4 config macgroup

config macgroup <name> [add|delete] <mac>

命令格式

命令功能 向地址组中添加/删除地址。

命令模式 配置模式

参数说明 参数 说明
<name> 地址组的名称
[add|delete] 添加/删除地址
<mac> 要添加的地址

使用指导 操作的地址不能是多播或广播地址，只能是单播地址。向地址组中添加地
址的数量上限是 1024，但一个地址组中不能有相同的地址存在。地址的输

7-11
第 7 章 配置端口

入格式为 12 个数字或字母的组合。

Harbour(config)#config macgroup mactest add 001122334455

配置实例
Harbour(config)#config macgroup mactest delete 001122334455

7.9.5 config mirroring

config mirroring <mirrornum> to <port>

命令格式
config mirroring <mirrornum> disable

命令功能 配置镜像目标端口。
取消端口镜像。

命令模式 配置模式

参数说明 参数 说明
<mirrornum> 镜像配置索引号
<port> 镜像目标端口

使用指导 交换机的任何一个端口都可以作为一个目标端口。被设置为镜像目标端口
的端口不能再被设置成镜像源端口。

show mirroring
相关命令

7.9.6 config mirroring [add|delete]

port

config mirroring <mirrornum> [add|delete] port [<portlist>|all]

命令格式 [egress|ingress]

命令功能 配置镜像源端口组的发包和收包。

命令模式 配置模式

参数说明 参数 说明
<mirrornum> 镜像组的索引号
[add|delete] 镜像组添加/删除源端口
<portlist> 参与镜像的源端口
all 所有源端口参与镜像
[egress|ingress] 镜像源端口的发送/接收包

7-12
 第 7 章 配置端口

配置实例 镜像端口 1-10 的发送包：

Harbour(config)#config mirroring 1 add port 1-10 egress
镜像端口 1-10 的接收包：
Harbour(config)#config mirroring 1 add port 1-10 ingress

7.9.7 config multicast limit

config multicast limit <0-262143>

命令格式

命令功能 配置组播速率的阈值。

命令模式 配置模式

参数说明 参数 说明
<0-262143> 组播速率的阈值范围，0为不报警

使用指导 组播速率的阈值是硬件丢弃包和软件报警的极限值。

Harbour(config)# config multicast limit 4000

配置实例

7.9.8 config multicast limit

[enable|disable]

config multicast limit [enable|disable]

命令格式

命令功能 使能或关闭端口组播智能抑制功能。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 使能或关闭

默认状态 端口组播智能抑制功能默认关闭。

Harbour(config)# config multicast limit enable

配置实例

7-13
第 7 章 配置端口

7.9.9 config multicast limit sample

config multicast limit sample interval <5-60> number <1-120>

命令格式

命令功能 配置组播抑制的端口统计抽样间隔和样本大小。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<5-60> 抽样间隔，单位：秒 5
<1-120> 样本大小，单位：次 60

Harbour(config)# config multicast limit sample interval 10 number 40

配置实例

7.9.10 config multicast limit

snmp-trap disable-port drop-packet

config multicast limit snmp-trap [on|off] disable-port [on|off]

命令格式 drop-packet[on|off]

命令功能 配置组播速率超过阈值的行为。

命令模式 配置模式

参数说明 参数 说明
snmp-trap [on|off] 是否向网管发警告信息
disable-port [on|off] 是否关闭该端口
drop-packet[on|off] 是否丢弃后续入端口的组播报文

默认状态 缺省状态下，组播速率超过阈值的行为只是硬件的丢弃数据包行为。

使用指导 通过该命令的设置可以执行向网管发 trap 报警和 disable 该端口的行为。

配置实例 配置组播超过阈值时候的行为是向网管发警告，不关闭该端口：
Harbour(config)# config multicast limit snmp-trap on disable-port on

7.9.11 config port

config port [<portlist>|all] [enable|disable]

命令格式

7-14
 第 7 章 配置端口

命令功能 使能或关闭指定的端口。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[enable|disable] 使能或关闭

默认状态 缺省情况下，端口都是使能的。

配置实例 关闭端口 1，3，5，7－12：

Harbour(config)#config port 1,3,5,7-12 disable

7.9.12 config port [add|delete] vlan

config port <portlist> [add|delete] vlan <.vlanlist>

命令格式

命令功能 将一个或多个端口以 tagged 方式加入一个或多个 VLAN 中，或从 VLAN

中删除。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
[add|delete] 增加/删除
<.vlanlist> 一个或多个VLAN，参数为可包
含空格的字符串

7.9.13 config port [normal|secure]

config port [<portlist>|all] [normal|secure]

命令格式

命令功能 配置端口工作在安全或非安全模式。

命令模式 配置模式

参数说明 参数 说明

7-15
第 7 章 配置端口

[<portlist>|all] 端口的列表 / 所有端口

[normal|secure] 安全或非安全模式

默认状态 创建端口安全后，默认的端口安全模式为 permit。

使用指导 端口工作在非安全模式时，与端口安全相关的配置将不起作用，只有端口
工作在安全模式这些配置才起作用。可以通过 config port secure
[permit|deny]命令在端口的安全模式之间进行切换。

Harbour(config)#config port 1 secure

配置实例

config port secure [permit|deny]

相关命令

7.9.14 config port auto

config port [<portlist>|all] auto [on|off]

命令格式

命令功能 配置端口的自适应模式。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或关闭

配置实例 关闭端口 24 的自适应模式：

Harbour(config)#config port 24 auto off

config port duplex

相关命令
config port speed

7.9.15 config port bpdu

config port [<portlist>|all] bpdu [receive|discard]

命令格式

命令功能 配置端口接收或丢弃 BPDU 报文。

命令模式 配置模式

7-16
 第 7 章 配置端口

参数说明 参数 说明
<portlist>|all 指定端口或所有端口
[receive|discard] 接收或丢弃

使用指导 在设置一个端口丢弃 BPDU 报文会影响到 Dot1x 和 STP

的功能，所以务必是在确认了这个端口不必使用到这两个
注意 功能的时候才能设置丢弃 BPDU 报文。

Harbour(config)# config port 5 bpdu discard

配置实例
Harbour(config)# show port 5
-------------------------------------------------------------------
Port:5 's Configuration Information

Link State : Down Port State : Enabled

Port Type : 1000BaseT Speed : 1000
Autonegotiation : Disabled Duplex : Full
Flowcontrol : Disabled Learn State : Enabled
Port BPDU : Discarded Mode : Slave

Port vlan ID : 2047

Port vlan Name : default
Port Summary : normal
-------------------------------------------------------------------

show port
相关命令

7.9.16 config port description

config port [<portlist>|all] description <description>

命令格式
config port [<portlist>|all] description clear

命令功能 配置端口的端口描述。
清除端口的端口描述。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
<description> 端口描述

7-17
第 7 章 配置端口

配置实例 配置端口 1 的端口描述为 uplin_port：

Harbour(config)#config port 1 description uplink_port

清除端口 1 的端口描述：
Harbour(config)#config port 1 description clear

7.9.17 config port duplex

config port [<portlist>|all] duplex [full|half]

命令格式

命令功能 配置端口的双工模式。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[full|half] 端口设置为全双工/半双工模式

使用指导 关闭端口的自适应模式后才可以进行端口双工模式的配置。

配置实例 将端口 24 设置为全双工模式：

Harbour(config)#config port 24 duplex full

config port auto

相关命令

7.9.18 config port flowcontrol

config port [<portlist>|all] flowcontrol [on|off]

命令格式

命令功能 使能或关闭端口的流量控制功能。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或关闭

7-18
 第 7 章 配置端口

配置实例 使能所有端口的流量控制：
Harbour(config)# config port all flowcontrol on

7.9.19 config port flowrate

config port [<portlist>|all] flowrate [enable|disable]

命令格式

命令功能 配置端口的收发包速率

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[enable|disable] 使能或关闭

默认状态 缺省为 disable。

使用指导 配置计算端口最近 5 分钟的收发包速率。如果使能，结果将显示在命令

“show port [<portlist>|all] {[stats]}*1”的结果中。

Harbour(config)# config port all flowrate enable

配置实例

show port [<portlist>|all] {[stats]}*1

相关命令

7.9.20 config port learn

config port [<portlist>|all] learn [on|off]

命令格式

命令功能 使能或关闭端口的地址学习功能。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或关闭

Harbour(config)#config port 3,4 learn on

配置实例

7-19
第 7 章 配置端口

7.9.21 config port mode

config port [<portlist>|all] mode [master|slave]

命令格式

命令功能 配置千兆电口的主从模式。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[master|slave] 端口设置成主/从模式

使用指导 由于 FlexHammer5010 的上行端口可以是光口也可以是电口，如果是光口，

其速率固定为 1000M，如果是电口，且已手动指定了端口速率为 1000M，
那么还需要利用此命令将一端设置成主模式，另一端设置成从模式。

Harbour(config)# config port 25 mode master

配置实例

config port speed

相关命令

7.9.22 config port secure [add|delete]

macgroup

config port [<portlist>|all] secure [add|delete] macgroup

命令格式 [<macfiltername>|all]

命令功能 配置地址组与安全端口关联。

命令模式 配置模式

参数说明 参数 说明
[<portlist>|all] 端口列表 / 所有端口
[add|delete] 关联或取消关联
[<macfiltername>|all] 地址组的名称 / 所有地址组

使用指导 将地址组与安全端口进行关联就可以结合地址组中的地址和安全端口的状
态进行安全的控制。注意：如果此端口当前为非安全模式，执行该命令会
自动将端口设置为安全模式，如果端口已经是安全的则不会改变端口当前
的 permit/deny 状态控制。端口与地址组之间是多对多的关系。也就是说，

7-20
 第 7 章 配置端口

一个端口可以关联多个地址组，一个地址组也可以关联多个端口。

Harbour(config)#config port 1 secure add macgroup mactest

配置实例

config port secure [permit|deny]

相关命令

7.9.23 config port secure

[permit|deny]

config port [<portlist>|all] secure [permit|deny]

命令格式

命令功能 配置端口在安全模式下的状态控制。

命令模式 配置模式

参数说明 参数 说明
[<portlist>|all] 端口列表 / 所有端口
[permit|deny] 允许 / 禁止

使用指导 端口工作在安全模式时，可以有两种控制状态：permit/deny。
1、如果选择 permit，则所有与端口相连的地址组中的地址在此端口上将可
以进行访问。注意：如果此端口没有与任何的地址组相连，则此时此端口
将禁止所有的地址进行访问（如果配置了静态的 FDB 除外）。
2、如果选择 deny，则所有与端口相连的地址组中的地址将被禁止在此端
口上进行访问。如果此端口没有与任何的地址组相连，则所有的地址在此
端口上都可以进行访问。如果此端口当前为非安全模式，执行该命令会自
动将端口设置为安全模式。

Harbour(config)#config port 1 secure permit

配置实例

config port [normal|secure]

相关命令
config port secure [add|delete] macgroup

7.9.24 config port speed

config port [<portlist>|all] speed [10|100|1000]

命令格式

命令功能 配置端口的速率。

7-21
第 7 章 配置端口

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[10|100|1000] 端口速率设置为10M/100M/1000M模式

使用指导 关闭端口的自适应模式后才可以进行端口速率的配置。
FlexHammer5010 以太网电口的速率只能是 10/100M，不可以配置为
1000M。扩展模块中如果插入的是千兆光模块，则其端口速度也不可以配
置；如果是千兆电口模块，可以配置相应端口速率为 1000M 模式，但必须
指明端口的主从关系，参见命令 config port mode。

配置实例 将端口 25 的速率设置为 100Mbps：

Harbour(config)# config port 25 speed 100

config port auto

相关命令
config port mode

7.9.25 config port snmp trap

config port [<portlist>|all] snmp trap [enable|disable]

命令格式

命令功能 配置端口的 link up/down 状态发生变化时，是否发送 trap 报文。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[enable|disable] 发送/不发送trap报文

Harbour(config)# config port all snmp trap enable

配置实例

show port snmp trap

相关命令

7.9.26 config port-monitor add port all

config port-monitor add port <portlist> all peak-value <1-100>

命令格式 [restrain|mirror]

7-22
 第 7 章 配置端口

命令功能 配置端口参与端口监视功能，监视所有包的流量值。

命令模式 配置模式

参数说明 参数 说明
<portlist> 指定加入端口监视的端口列表
<1-100> 指定监视端口包的流量阀值，当流入端口的包流量超
过这个数值自动启动端口监视功能，单位：Mbyte
[restrain|mirror] 指定具体加入哪一种监视功能

config port-monitor delete port

相关命令

7.9.27 config port-monitor add port

bcast

config port-monitor add port <portlist> bcast peak-value <500-65535>

命令格式 [restrain|mirror]

命令功能 配置端口参与端口监视功能，监视广播包。

命令模式 配置模式

参数说明 参数 说明
<portlist> 指定加入端口监视的端口列表
<500-65535> 指定监视端口广播包的个数阀值，当流入端口的广播
包的个数超过这个数值自动启动端口监视功能
[restrain|mirror] 指定具体加入哪一种监视功能

config port-monitor delete port

相关命令

7.9.28 config port-monitor delete port

config port-monitor delete port <portlist> [restrain|mirror]

命令格式

命令功能 配置端口退出端口监视镜像/抑制端口功能。

命令模式 配置模式

参数说明 参数 说明

7-23
第 7 章 配置端口

<portlist> 指定退出端口监视的端口列表
[restrain|mirror] 指定哪一种监视功能

config port-monitor add port all

相关命令
config port-monitor add port bcast

7.9.29 config port-monitor mirror

config port-monitor mirror mirror_port <portno> intervel <1-10>

命令格式 keepalive <0-3600>
config port-monitor mirror disable

命令功能 使能端口监视镜像功能。
关闭端口监视镜像功能，删除已经加入到端口监视镜像中的端口。

命令模式 配置模式

参数说明 参数 说明
<portno> 连接第三方的镜像端口
<1-10> 检测启动端口监视镜像的端口的时间间隔，单位：秒
<0-3600> 端口镜像后恢复到初始状态的时间值，单位：秒，0表示
时间无限长，永远不恢复起始状态

使用指导 使用该命令时不建议使用命令“clear port [<portlist>|all] stats”清除该端口

统计信息。如果清除了该端口统计信息，keepalive 又设为 0 的话，只能手
工恢复端口 enable 状态。

7.9.30 config port-monitor restrain

config port-monitor restrain interval <1-10> keepalive <0-3600>

命令格式
config port-monitor restrain disable

命令功能 使能端口监视抑制端口功能。
关闭端口监视抑制端口功能，删除已经加入到端口监视抑制端口的端口。

命令模式 配置模式

参数说明 参数 说明
<1-10> 检测启动端口监视抑制的端口的时间间隔，单位：秒
<0-3600> 端口抑制后恢复到初始状态的时间值，单位：秒，0表示时
间无限长，永远不恢复起始状态

7-24
 第 7 章 配置端口

7.9.31 config sharing

config sharing <master_portno> select-mode <rtag>

命令格式

命令功能 配置 Load Sharing 组的成员端口的转发模式

命令模式 配置模式

参数说明 参数 说明
<master_portno> Load Sharing组的主端口号
<rtag> 端口的转发模式

使用指导 端口的转发模式包括以下几种：
smac: 基于源 MAC 地址负载均衡模式
dmac: 基于目的 MAC 地址负载均衡模式
sdmac: 基于源和目的 MAC 地址负载均衡模式
slip: 基于源 IP 地址负载均衡模式
dip: 基于目的 IP 地址负载均衡模式
sdip: 基于源和目的 IP 地址负载均衡模式

show sharing
相关命令

7.9.32 create macgroup

create macgroup <name>

命令格式

命令功能 创建地址组。

命令模式 配置模式

参数说明 参数 说明
<name> 地址组的名称

使用指导 地址组用于将一些地址汇集到一起，然后可以将这些地址组与端口进行相
连，从而可以进行端口的安全控制。地址组的名称只能由数字或字母组成，
并且必须以字母开头，长度不能超过 30。系统共允许创建 256 个地址组。

Harbour(config)#create macgroup mactest

配置实例

7-25
第 7 章 配置端口

delete macgroup [<name>|all]

相关命令

7.9.33 create sharing

create sharing <master_portno> grouping <portlist>

命令格式

命令功能 创建一个 Load Sharing 组。

命令模式 配置模式

参数说明 参数 说明
<master_portno> 创建的Load Sharing组的主端口号
<portlist> 与该Load Sharing相关的端口列表

delete sharing
相关命令

7.9.34 delete macgroup

delete macgroup [<name>|all]

命令格式

命令功能 删除已经配置的地址组。

命令模式 配置模式

参数说明 参数 说明
<name> 地址组的名称
all 所有地址组

Harbour(config)#delete macgroup mactest

配置实例

create macgroup
相关命令

7.9.35 delete sharing

delete sharing <master_portno>

命令格式

命令功能 删除一个 Load Sharing 组。

7-26
 第 7 章 配置端口

命令模式 配置模式

参数说明 参数 说明
<master_portno> 要删除的Load Sharing组的主端口号

create sharing
相关命令

7.9.36 loopback port

loopback port [<portlist>|all] mode [internal|external] {[detail]}*1

命令格式

命令功能 配置端口自环测试。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
internal 内环测试，不需要自环头
external 外环测试，需要插上自环头
detail 输出自环测试过程信息

使用指导 此功能是可选功能。可以选择内环和外环两种的测试方式，对于外环测试
必须插上自环头。对于信息打印的输出可以选择 detail 模式，此时输出测
试过程信息；如不选择则只简单的输出测试结果。如需要查看更加详细的
信息，可以打开 monitor。

扩展卡上的端口不支持端口自环测试。
注意

Harbour(config)# loopback port all mode internal

配置实例

7.9.37 show broadcast_limit

show broadcast_limit
命令格式

命令功能 显示广播包抑制功能的配置状态。

命令模式 配置模式

7-27
第 7 章 配置端口

配置实例 目前广播包抑制功能打开，每个端口每秒最多接收 10000 个广播包：

Harbour(config)#show broadcast_limit

State Value
_ _ _ _ _ _ _ _ _ _ _ _ _ __ _ _ _ _ _

enable 10000

config broadcast_limit
相关命令
config broadcast_limit [enable|disable]

7.9.38 show linkinfo

show linkinfo
命令格式

命令功能 显示端口的 UP/DOWN 信息，最多可以记录最后 1000 次的 UP/DOWN 信

息。

命令模式 配置模式

Harbour(config)# show linkinfo

配置实例
switch port link state change total 1 counts

7.9.39 show macgroup

show macgroup {<name>}*1

命令格式

命令功能 显示地址组信息。

命令模式 配置模式

参数说明 参数 说明
<name> 地址组的名称

使用指导 显示地址组的信息：包括地址组的名称、所有的地址、与其进行连接的所
有的端口。不输入地址组的名称将显示所有地址组的信息。

Harbour(config)# show macgroup

配置实例

7-28
 第 7 章 配置端口

7.9.40 show mirroring

show mirroring
命令格式

命令功能 显示端口镜像信息。

命令模式 配置模式

Harbour(config)# show mirroring

配置实例

config mirroring
相关命令

7.9.41 show perport

show perport [<portist>|all]

命令格式

命令功能 显示每个端口的安全信息。

命令模式 配置模式

参数说明 参数 说明
[<portlist>|all] 端口的列表 / 所有端口

使用指导 显示每个端口是安全/非安全模式，如果是安全模式显示与其相关联的所有
的地址组的名称，是 permit 还是 deny 控制状态；此端口所属的地址组是
否是安全的；地址组的地址学习的使能控制。

Harbour(config)# show perport all

配置实例

7.9.42 show port

show port [<portlist>|all] {[configuration|stats]}*1

命令格式

命令功能 显示端口的信息。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表

7-29
第 7 章 配置端口

all 所有端口
configuration 显示端口配置信息
stats 显示端口流量统计信息

默认状态 缺省不指定 configuration 或 stats 时，显示端口配置信息。

Harbour(config)# show port all

配置实例

7.9.43 show port snmp trap

show port snmp trap

命令格式

命令功能 显示端口 link trap 配置。

命令模式 配置模式

Harbour(config)# show port snmp trap

配置实例

config port snmp trap

相关命令

7.9.44 show port-monitor states

show port-monitor states

命令格式

命令功能 显示端口监视的配置信息。

命令模式 配置模式

Harbour(config)# show port-monitor states

配置实例
Bcast monitor information:
--Port--mirror port --PeakValue(bcast)--PeakValue(all)-- Port
State --
-- 1-- 0-- 0 (frames/s)--20(MBytes/s)--Restrain port
enable--
-- 2-- 0-- 0 (frames/s)--20(MBytes/s)--Restrain port
enable--
-- 3-- 0-- 0 (frames/s)--20(MBytes/s)--Restrain port
enable--
-- 4-- 0-- 0 (frames/s)--20(MBytes/s)--Restrain port
enable--
-- 5-- 0-- 0 (frames/s)--20(MBytes/s)--Restrain port

7-30
 第 7 章 配置端口

enable--

7.9.45 show sharing

show sharing
命令格式

命令功能 显示 Load Sharing 配置。

命令模式 配置模式

使用指导 显示当前系统中正在运行的 Load Sharing 组信息，包括主端口以及组中所

含的端口列表。

Harbour(config)#show sharing
配置实例

7-31
 第 8 章 配置 FDB

8 第8章 配置 FDB

本章讲述了 FDB（Forwarding Database）地址表的内容和相关知识，以及配置静

态 FDB 地址表的方法。

8.1 概述

交换机从它的所有端口接收 Media Access Control (MAC)地址信息，形成 MAC 地

址表并维护它。当交换机收到一帧数据时，它将根据自己的 MAC 地址表来决定是
将这帧数据进行过滤还是转发。此时，维护的这张 MAC 表就是 FDB 地址表。如果
收到数据帧的目的 MAC 地址不在 FDB 地址表中，那么该数据将被发送给除源端口
外该数据包所属 VLAN 的其他所有端口。
FDB 地址表中的地址表项可以通过以下两个途径被加入：
交换机自学习：交换机可以根据收到的数据包的源 MAC 地址、端口、VLANID，
来自动更新 FDB 地址表。
手工增加：可以通过命令行接口手工增加地址表项到 FDB 地址表中。
FDB 地址表数目由产品决定。每一个 FDB 地址表项由 MAC 地址和 VLANID 唯一标
识。每个 FDB 地址表项都包含以下内容：
MAC 地址
与 MAC 地址关联的端口号（Port）
与 MAC 地址关联的 VLAN 的名称(VLAN name)
该 FDB 地址表项的标志(Flags)
FDB 地址表项标志的含义如下：
System ：系统（交换机）自动产生的第三层静态 FDB 地址表项。
Permenant：该 FDB 地址表项是一个静态地址表项。
Dynamic ：该 FDB 地址表项是一个动态地址表项。
L3 ：该 FDB 地址表项是一个用于三层转发的地址表项。
FDB 地址表共有三种地址表项：

8-1
第 8 章 配置 FDB

动态地址表项

最开始的时候，交换机 FDB 地址表中的所有地址表项都是动态的。如果经过一段时

间（老化时间 Agingtime）之后，设备没有数据传输，那么该地址表项就会被删除。
这样能防止地址表项变得过于庞大，当确信某个设备从网络中去除后，就把该设备
的地址表项删除掉。当交换机关机重启动或者 reset 时，所有的动态地址表项都将
被删除。

固定地址表项

如果老化时间（Agingtime）被设为 0，那么该地址表项将存储在 MAC 地址表中而

不会被动态删除，直到交换机关机或者重启。

永久地址表项

永久地址表项将一直保存在 MAC 地址表中，即使交换机关机或者重启。永久地址

表项必须由系统管理员手工设定。一个永久地址表项可以是一个单播地址，也可以
是一个组播地址（本系统暂时不支持组播地址）
。所有由命令行输入的静态地址表项
都将被存储为永久地址表项。永久地址表项一经建立，不会老化，但会随交换机的
配置变化而变化。
以下事件的发生会引起永久地址表项被删除：
删除一个与 FDB 静态表项关联的 VLAN
修改一个与 FDB 静态表项关联的 VLAN 的 tag 值
从 VLAN 中删除与 FDB 静态表项关联的一个端口
以下事件的发生不会引起永久地址表项的变化：
一个端口被关闭（disable）
一个端口被堵塞（block）
一个端口 down 掉（link down）

8.2 配置FDB

8.2.1 缺省配置信息

关于 FDB 的缺省设置信息如以下表格所示：

8-2
 第 8 章 配置 FDB

表8-1 FDB 缺省配置信息

内容 缺省设置 备注
FDB老化时间 80秒 可更改设置

8.2.2 配置静态FDB

配置一条出接口为以太网端口的静态 FDB 表项，即特定用户流量通道为某端口。由

于静态表项不会老化，可以优先保证特定用户的流量。

配置步骤

步骤1 create fdbentry 添加一个静态地址表项到FDB地址表

步骤2 show fdb 通过show命令来检验
步骤3 config fdb agingtime 配置FDB地址表的老化时间

使用命令 delete fdbentry 可以删除 FDB 表中的地址表项。

8.2.3 MAC地址绑定

出于网络安全考虑，需要对接入用户进行控制，通过对交换机建立静态 FDB 实现
MAC 地址绑定，可以防止地址假冒。实现 MAC 地址绑定前，需要首先关闭交换机
端口的地址学习功能，然后通过为该端口绑定一个静态 MAC 地址。这样，凡是来
自该 MAC 地址的报文将允许通过，而来自其他陌生 MAC 地址的报文均被丢弃，从
而限制了在该端口上允许通过的 MAC 地址。
设置 MAC 地址绑定的步骤如下：

配置步骤

步骤1 config port [<portlist>|all] learn off 关闭端口的地址学习功能

步骤2 create fdbentry <mac_address> 建立一条FDB地址表项，实现基于端口
vlan <name> <portlist> 的MAC地址绑定

使用命令 delete fdbentry 可以删除 FDB 表中的地址表项。

8-3
第 8 章 配置 FDB

8.2.4 配置老化时间

配置 FDB 表老化时间

步骤1 config fdb agingtime 配置FDB表的老化时间

老化时间为 0 表示地址表项永远不老化。

8.2.5 配置静态组播FDB

配置静态组播 FDB 和上面介绍的配置静态 FDB 类似，不过配置静态 FDB 针对的是

单播 MAC，而配置组播 FDB 则将组播 MAC 绑定到端口（静态 FDB 不允许配置组
播地址）。这样，对于目的 MAC 是组播 MAC 的报文，首先会查询是否能找到与该
MAC 对应的表项，若有，则报文从表项中所绑定的端口发出，若没有则在整个 VLAN
中广播。

配置步骤

步骤1 create mfdb mac 创建组播FDB地址表

步骤2 show mfdb 显示组播FDB地址表

使用命令 delete mfdb mac 可以删除组播 FDB 表。

8.3 命令参考

8.3.1 config fdb agingtime

config fdb agingtime [0|<10-1000000>]

命令格式

命令功能 配置 FDB 地址表的老化时间

命令模式 配置模式

参数说明 参数 说明 缺省配置
[0|<10-1000000>] 老化时间，单位是秒 80秒

8-4
 第 8 章 配置 FDB

使用指导 老化时间为 0 表示地址表项永远不老化。

配置实例 将 FDB 地址表的老化时间设为 40 秒：

Harbour(config)#config fdb agingtime 40

8.3.2 create fdbentry

create fdbentry <mac_address> vlan <name> port <portlist> {priority

命令格式 <0-7>}*1

命令功能 添加一个静态地址表项到 FDB 地址表中。

命令模式 配置模式

参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN的名称
<portlist> 端口号
<0-7> 优先级

配置实例 添加一个静态地址表项到 FDB 地址表中，该静态永久地址表项的 MAC 地

址是 00:E0:2B:12:34:56，VLAN 名字是 market，端口号是 4：
Harbour(config)#create fdbentry 00E02B123456 vlan market port 4

delete fdbentry
相关命令

8.3.3 create mfdb mac

create mfdb mac <mac_address> vlan <name> port <portlist>

命令格式

命令功能 创建组播 FDB 地址表。

命令模式 配置模式

参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN名
<portlist> 端口列表

8-5
第 8 章 配置 FDB

delete mfdb mac

相关命令
show mfdb

8.3.4 delete fdbentry

delete fdbentry {mac <mac_address> vlan <name>}*1

命令格式

命令功能 删除 FDB 表中的地址表项。

命令模式 配置模式

参数说明 参数 说明
<mac_address> 要删除的设备MAC地址
<name> 要删除的设备所属的VLAN名称

使用指导 不输入参数时删除所有的动态地址表项。

由系统创建的 FDB 表项不能删除。

注意

配置实例 删除 VLAN market 中的一个地址表项：

Harbour(config)#delete fdbentry mac 00E02B123456 vlan market

create fdbentry
相关命令

8.3.5 delete mfdb mac

delete mfdb mac <mac_address> vlan <name>

命令格式

命令功能 删除组播 FDB 地址表。

命令模式 配置模式

参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN名

create mfdb mac

相关命令
show mfdb

8-6
 第 8 章 配置 FDB

8.3.6 show fdb

show fdb {[mac]<macaddr>}*1 {[vlan]<name>}*1

命令格式

命令功能 显示 FDB 地址表中的地址表项。

命令模式 只读模式和配置模式

参数说明 参数 说明
<macaddr> MAC地址
<name> VLAN名

使用指导 不输入参数时显示 FDB 地址表中的所有地址表项信息。当只输入 MAC 地

址时，将显示本交换机所有 VLAN 中含该 MAC 地址的 FDB 地址表项。当
只输入 VLAN 名字时，将显示此 VLAN 中的所有 FDB 地址表项信息。当既
输入 MAC 地址又输入 VLAN 名字时，将显示该 VLAN 中此 MAC 地址的
FDB 地址表项信息。

Harbour(config)#show fdb
配置实例 ------- Begin of MAC Address Table Information (all)-------

MAC address Port vlan name Flags

------------------ ---- ------------------ --------------------
00:05:3b:02:30:00 0 default System L3 Permanent
00:05:3b:02:30:00 0 System Cluster System Permanent
00:05:4b:00:04:90 10 System Cluster Dynamic
------------------ ---- ------------------------------

create fdbentry
相关命令

8.3.7 show fdb permanent

show fdb permanent {[mac] <macaddr>}*1 {[vlan] <name>}*1

命令格式

命令功能 显示 FDB 地址表中的静态地址表项。

命令模式 只读模式和配置模式

参数说明 参数 说明
<macaddr> MAC地址
<name> VLAN名

8-7
第 8 章 配置 FDB

使用指导 当 MAC 地址和 VLAN 名字一个都不输入时，将显示本交换机 FDB 地址表

中的所有的静态永久地址表项信息。当只输入 MAC 地址时，将显示本交换
机所有 VLAN 中含该 MAC 地址的静态地址表项。当只输入 VLAN 名字时，
将显示此 VLAN 中的所有静态地址表项信息。当既输入 MAC 地址又输入
VLAN 名字时，将显示该 VLAN 中此 MAC 地址的静态地址表项的信息。

Harbour(config)#show fdb permanent mac 004532659872

配置实例 ------- Begin of Permanent MAC Information
(macaddr:[004532659872])-------

MAC address Port VLAN name Flags

------------------ ---- ------------------------------
00:45:32:65:98:72 0 default System
00:45:32:65:98:72 0 sun Permanent

------------------ ---- ------------------------------

Total 2 permanent mac showed.

---------- End of Permanent MAC Information ----------

create fdbentry
相关命令

8.3.8 show fdb summary

show fdb summary

命令格式

命令功能 显示 FDB 地址表的总数量以及动态和静态 FDB 表的数量信息。

命令模式 配置模式

Harbour(config)#show fdb summary

配置实例 ---------------- FDB usage ----------------
Static 3
Dynamic 0
Total 3
-------------------------------------------

8.3.9 show mfdb

show mfdb {[mac] <macaddr>}*1 {[vlan] <name>}*1

命令格式

命令功能 显示组播 FDB 地址表。

命令模式 配置模式

8-8
 第 8 章 配置 FDB

参数说明 参数 说明
<mac_address> MAC地址
<name> VLAN名

create mfdb mac

相关命令
delete mfdb mac

8-9
 第 9 章 配置 VLAN

9 第9章 配置 VLAN

9.1 VLAN概述

简单地讲，VLAN 是指那些看起来好像在同一个物理局域网中能够相互通信的设备
的集合。对于以端口划分的 VLAN 而言，任何一个端口的集合（甚至交换机上的所
有端口）都可以被看作是一个 VLAN。VLAN 的划分不受硬件设备物理连接的限制，
用户可以通过命令灵活地划分端口，创建定义 VLAN。使用 VLAN 的优点如下：
VLAN 能帮助控制流量
在传统网络中，不管是否必要，大量广播数据被直接送往所有网络设备，从而导致
网络堵塞。而 VLAN 的设置能够使每个 VLAN 只包含那些必须相互通信的设备，从
而减少广播、提高网络效率。
VLAN 提供更高的安全性
每个 VLAN 中的设备只能与本 VLAN 中的设备通信。例如，如果 VLAN Market 的
设备要和 VLAN Sales 的设备通信，则只有通过路由器才能进行，在没有三层路由
设备的情况下两个部门不能直接通信，从而提高了网络安全性能。
VLAN 使网络设备的变更和移动更加方便
在传统网络中，网络管理员不得不在网络设备的变更和移动上花费大量的时间和精
力。如果用户移动到另一个不同的子网，那么每个终端的地址都得重新设置。而使
用 VLAN 则不需要这些复杂繁琐的设置。

9.1.1 VLAN的分类

用户可以根据以下标准创建 VLAN：

物理端口
802.1Q tag
以上标准的组合

9-1
第 9 章 配置 VLAN

1. 以端口划分的 VLAN

在一个 Port-Based VLAN（基于端口的 VLAN）中，用一个 VLAN 的名字来代表交

换机中的一个或多个端口组成的一组端口。不同 VLAN 中的成员不能相互通信，即
使它们在物理上属于同一个交换机的同一个 I/O 模块。如果要互相通信就必须通过
三层交换机进行路由。这就意味着每一个 VLAN 的 IP 地址必须唯一，且不属于相同
网段。
例如，在交换机上，端口 1、9 和 15 属于 VLAN Market，端口 3 和 14 属于 VLAN
Finance，端口 6、18-21 属于 VLAN Sales。

2. 以标签划分的 VLAN

标签就是在以太网帧中插入的特定标记，称为 tag，它也是某个指定 VLAN 的标识

号 VLANID。

使用 802.1Q 标签的数据包可能导致数据包长度比现行的 IEEE

802.3 以太网帧的最大字节数 1518 稍微大一点，这可能导致其
注意 他设备中的数据包计数错误，使得在含有非 802.1Q 网桥或路由
器的网络中有可能导致连接出现问题。

3. Tagged VLAN 的应用

标签（Tagging）最常应用在跨交换机创建 VLAN 的情况，此时交换机之间的连接

通常称为中继。使用标签后，可以通过一个或多个中继创建跨多个交换机的 VLAN。
一个 VLAN 可以很轻易地通过中继跨多个交换机。
使用 Tagged VLAN 的另一个好处就是一个端口可以属于多个 VLAN。这一点在某个
设备（例如服务器）
必须属于多个 VLAN 的时候特别有用，此设备必须有支持 802.1Q
的网络接口卡。

4. 指定 VLAN 标签

每个 VLAN 都可被赋予一个 802.1Q VLAN tag。当向一个由 802.1Q 标签定义的

VLAN 中添加端口时，可以决定该端口是否使用这个 VLAN 的标签。缺省模式是所
有端口都属于一个名叫 default 的 VLAN，其 VLANID 为 2047。
并不是所有端口都必须使用标签。当数据流从交换机的一个端口输出时，交换机实
时决定是否需将该 VLAN 的标签加入到数据包中。交换机根据每个 VLAN 端口的配

9-2
 第 9 章 配置 VLAN

置情况决定加上或者去掉数据包中的标签。

如果交换机收到带 tag 标记的数据包，当这个 tag 值与接收数据

端口的 tag 值不同时，说明这个数据包来自其他 VLAN，因此交
注意 换机将丢弃该数据包。

为使用 Tag（tagged）和未使用 Tag（untagged）划分 VLAN 的网络物理结构图。

图9-1 以 tagged 和 untagged 划分 VLAN

交换机 1 的端口 1 和交换机 2 的端口 1 同时属于 VLAN Market 和 VLAN Sales，且

两个端口之间有中继线连接。跨交换机的 VLAN Market 和 VLAN Sales 通过这条中
继线相连，从而实现跨交换机的 VLAN 通信。其中：
中继端口都为 tagged。
连接到交换机 1 端口 9 上的 Server 须含有支持 802.1Q Tagged 的网络接口卡
（NIC）。
连接 Server 的交换机 1 的端口 9 必须同时属于 VLAN Market 和 VLAN Sales。
除了连接 Server 的交换机 1 的端口 8 和两台交换机的端口 1 是 tagged 以外，
其他端口都是 untagged。
当数据转发到交换机的端口时，交换机决定数据送达到目的端口是否需要加标
签（tagged）
。所有 Server 收发的数据都是加标签的（tagged）；从其余终端工
作站收和发的数据都是 untagged。

9-3
第 9 章 配置 VLAN

5. 混合使用 Tagged VLAN 和 Port-Based VLAN

可以混合使用 Tagged VLAN 和 Port-Based VLAN。一个给定的端口可以属于多个

VLAN，前提是该端口只能在一个 VLAN 中是未加标签的（Untagged）。换句话说，
一个端口同时能属于一个 Port-Based VLAN 和多个 Tagged VLAN。

出于 VLAN 分类的目的，如果交换机收到一个含 802.1Q 标签

的数据包，但是该 802.1Q 标签所含的 VLANID 的值为０，那
注意 么交换机会把该数据包当作是未加标签的（untagged）。

9.1.2 配置VLAN的有关规则

VLAN 配置要求遵循一定的规则，对 VLAN 的命名、端口的添加、IP Address 的配

置、Tag 值的范围等有一定的要求。

1. 缺省 VLAN

交换机出厂时有一个缺省的 VLAN，该 VLAN 有以下属性：

VLAN 的名字是 default
它包含所有端口
default VLAN 的所有端口都是 untagged 的
default VLAN 的 VLANID 是 2047

2. VLAN 的名字

每个 VLAN 的名字可以是由以字母开头的１至 29 个字符组成，这些字符只能是字

母、数字或者下划线“_”。空格符、逗号、引号等字符都是不合法的。
VLAN 的名字只是本地标志。也就是说，在一台交换机上设置的 VLAN 的名字只对
该交换机有意义。如果另一台交换机（Switch2）与该交换机(Switch1)相连，那么
这个交换机(Switch1)的 VLAN 的名字对那台交换机（Switch2）来讲毫无意义。

9-4
 第 9 章 配置 VLAN

9.2 配置VLAN

9.2.1 配置步骤

配置 VLAN 包括以下步骤：
配置步骤
步骤1 create vlan <name> 创建VLAN并给该VLAN取名
步骤2 config vlan <name> tag <1-4094> 给VLAN指定一个Tag，或者使用创建
时系统分配的Tag
步骤3 config vlan <name> ipaddress 如果需要的话给该VLAN分配IP地址和
<A.B.C.D/M> 子网掩码
步骤4 config vlan <name> [add|delete] 在VLAN中加入端口，可以指定是否使
port <portlist> [tagged|untagged] 用802.1Q tag
步骤5 show vlan {<name>}*1 查看VLAN配置信息

使用命令 delete vlan 可以删除 VLAN。使用命令 no vlan ip 可以删除 VLAN 的 IP 地

址。
使用命令 config port [add|delete] vlan 也可以将一个或多个端口以 tagged 方式加入
一个或多个 VLAN 中，或从 VLAN 中删除。参见“配置端口”一章。

9.2.2 配置案例

案例描述
在交换机上创建一个名为 development 的 VLAN，给该 VLAN 分配 IP 地址
202.106.15.3 和子网掩码 255.255.255.0，然后加入端口 3，6，17-20，并指定端
口为 untagged 模式。
配置步骤
步骤1 创建一个VLAN，名称为development
Harbour(config)#create vlan development
步骤2 给该VLAN分配IP地址192.168.0.232/24
Harbour(config)# config vlan development ipaddress
192.168.0.232/24
步骤3 分配给该VLAN的VLANID是128
Harbour(config)#config vlan development tag 128
步骤4 给该VLAN加入端口3，6，17-20，并指定端口为untagged模式
Harbour(config)#config vlan development add port 3,6,17-20 untagged
步骤5 查看VLAN的配置信息
Harbour(config)#show vlan development

9-5
第 9 章 配置 VLAN

VLAN ID : 128
Name : development
IP Address : 192.168.0.232/24
MAC address : 00:45:32:65:98:72
Tagged Ports :
Untagged Ports : 3 6 17 18 19 20

步骤6 向development添加一个以IEEE 802.1Q tagged模式属于该VLAN的端口3

Harbour(config)#config vlan development add port 3 tagged
步骤7 查看VLAN的配置信息，此时，端口3以IEEE 802.1Q tagged模式属于
development，所以untagged ports中就没有端口3了
Harbour(config)#show vlan development

VLAN ID : 128
Name : development
MAC address : 00:45:32:65:98:72
Tagged Ports : 3
Untagged Ports : 6 17 18 19 20

9.3 VLAN端口隔离

9.3.1 概述

VLAN 端口隔离用以限制 VLAN 内各端口之间的访问操作。为 VLAN 设置上行端口

后，该 VLAN 内每个端口只能和上行端口通信，相互之间隔离，不能相互访问。上
行口为 VLAN 成员端口，普通工作模式，ingress 包按普通方式转发。VLAN 的端口
隔离配置必须遵循以下规则：
Default VLAN 不可配置端口隔离
VLAN 上行端口不支持 Load sharing
VLAN 上行端口不支持 mirrored_to_port
VLAN 的上行端口不能从 VLAN 中删除
端口隔离的 VLAN 不支持基于 VLAN 的 QoS

9.3.2 配置案例

案例描述
端口 1 为 vlan iso_vlan 的上行端口，vlan iso_vlan 的其他成员端口 2、3 之间不能
访问，只能各自与上行口通信。

9-6
 第 9 章 配置 VLAN

配置步骤
步骤1 创建一个VLAN，名称为development
Harbour(config)#create vlan iso_vlan
步骤2 给该VLAN加入端口3，6，17-20，并指定端口为untagged模式
Harbour(config)#config vlan iso_vlan add port 1,2,3 untagged
步骤3 配置端口1为vlan iso_vlan的上行端口
Harbour(config)#config vlan iso_vlan uplink_port 1
步骤4 查看VLAN的配置信息
Harbour(config)#show vlan iso_vlan

VLAN ID : 2046
Name : iso_vlan
VLAN Type : Normal
MAC address : 00:05:3b:80:00:01
Uplink Port : 1
Tagged Ports :
Untagged Ports : 1 2 3

9.4 配置VLAN子接口

9.4.1 概述

VLAN 子接口就是在一个 VLAN 的虚拟接口上配置几个子接口，每个子接口都可以

配置 IP 地址，每个子接口独立工作。但它们都通过相同的 VLAN 来收发数据包。也
就是说一个 VLAN 的所有子接口的二层都是一样的，
它们只是在三层处理时有区别。
在一个接口创建多个子接口，然后在每个子接口上可以配置一个和其他的子接口在
不同网段的 IP 地址，这样一个接口就可以和多个网段的子网进行连接，方便了对网
络设备的管理。同时通过这种创建不同子接口的方式也可以实现网络的备份管理。
VLAN 子接口的配置规则
每个 VLAN 可以支持多个子接口，子接口也支持动态路由。在创建子接口时先
创建主接口，同时每个子接口都创建在 VLAN 上，在删除 VLAN 的同时，VLAN
下的所有子接口也会被同时删除。（注意：Sub VLAN 上不支持子接口的创建）
每个子接口只支持 IP 地址的配置，除了在子接口上配置 IP 地址外，现在子接口
不支持任何其他配置。

9-7
第 9 章 配置 VLAN

9.4.2 配置案例

案例描述
在 VLAN default 上创建子接口 default_1。
配置步骤
步骤1 在VLAN default上创建一个名称为default_1的子接口
Harbour(config)# create sub-interface default_1 vlan default
步骤2 给子接口default_1配置IP地址1.1.1.1/24：
Harbour(config)# config sub-interface default_1 ipaddress
1.1.1.1/24
步骤3 显示VLAN default上配置的子接口
Harbour(config)#show sub-interface default

************sub-interface of vlan default ************

Interface default_1
index 8 metric 1 mtu 1500 <BROADCAST,LINK0,MULTICAST>
inet 1.1.1.1/24 broadcast 1.1.1.255

Total sub-interface entry: 1

9.5 配置Super VLAN

VLAN Aggregation（VLAN 聚合）技术提供一种机制使处于同一个交换机中分属不

同 VLAN 的主机分配在相同的 IPv4 子网中，而且使用同一个默认网关。在一个大
规模的交换局域网环境内，这种机制相对于传统的 IPv4 寻址体系具有许多优点。
VLAN 聚合的主要优点是节省 IP 地址。在交换网络环境中引进 Sub VLAN 和 Super
VLAN，它们是一种可以实现 IP 地址划分的更加优化的途径。它通常将多个不同的
VLAN 划分至同一 IP 子网，而不是每个 VLAN 单独占用一个子网，然后将整个 IP
子网指定为一个 VLAN 聚合（Super VLAN），它包含整个 IP 子网内的所有 VLAN
（Sub VLAN）。
实质上不同的 Sub VLAN 仍保留各自独立的广播域，而一个或多个 Sub VLAN 同属
于一个 Super VLAN，并且都使用 Super VLAN 的接口地址为默认网关 IP 地址。当
不同 Sub VLAN 中的主机需要相互之间通讯时，需要在 Super VLAN 开启 ARP 代
理。
VLAN 聚合产生了一个更加有效地地址分配体系，这种模式也给网络工程师提供了
一种规范的默认网关分配的机制。VLAN Aggregation 具有以下特点：
若干个小 VLAN（Sub VLAN）同属于一个大 VLAN（Super VLAN）。

9-8
 第 9 章 配置 VLAN

Super VLAN 对应 IPv4 子网地址，所有该 Super VLAN 的 Sub VLAN 都属于该

子网。
Sub VLAN 实现广播域隔离。
不同的 Sub VLAN 仍保留各自独立的广播域，实现同一子网中的广播的隔离，
避免广播风暴的产生。
同一子网 Super VLAN 中的不同 Sub VLAN 互通需要 Super VLAN 开启
arp-proxy。
做为 Super VLAN 的 VLAN 不能包含端口，做为 Sub VLAN 的 VLAN 不能配置
IP 地址。
配置案例
步骤1 向Super VLAN super1中添加Sub VLAN sub1
Harbour(config)# config vlan super1 add subvlan sub1
步骤2 查看VLAN的配置信息
Harbour(config)# show vlan

VLAN ID : 2046
Name : super1
VLAN Type : Super-VLAN
Mac address : 00:05:3b:58:00:a0
Sub-vlan list : sub1
Tagged Ports :
Untagged Ports :

VLAN ID : 2045
Name : sub1
VLAN Type : Sub-VLAN
Mac address : 00:05:3b:58:00:a0
Parent VLAN : super1
Tagged Ports :
Untagged Ports :
----------------------------------
Total vlans : 3

9.6 配置Proxy ARP

为了同一 Super VLAN 但不同 Sub VLAN 的主机之间能通信，必须用到 Proxy ARP

协议实现地址解析。因为不同 Sub VLAN 共用同一个网关，即 Super VLAN 的路由
地址，相当于一个 Proxy ARP（代理 ARP）服务器。代理网关能处理不同 Sub VLAN
的主机之间的 ARP 包并转发数据包。
例如 SubVLAN1 和 SubVLAN2 在同一个 Super VLAN，SubVLAN1 的主机 H1 要
与 SubVLAN2 的主机 H2 通信，H1 广播 ARP 请求包（查找 SubVLAN2 的主机 H2
硬件地址）；代理网关查找并回答请求，提供代理网关自己的以太网地址；H1 将发

9-9
第 9 章 配置 VLAN

往 H2 的数据报发送给代理网关；代理网关收到发往 H2 的数据报后，根据转发表中
的信息将数据报转发给 H2。这样，通过代理 ARP 的实现，不同广播域的主机 H1
和主机 H2 之间的通信看上去就象在同一广播域内通信。
如果出于安全考虑，要禁止某 SubVLAN 同其他 SubVLAN 通信，可以关闭该
SubVLAN 的 ProxyARP 功能。

Super VLAN 配置的 Proxy ARP 功能将会应用于该 Super

提示 VLAN 下的所有 Sub VLAN。

配置案例
步骤1 打开Sub VLAN sub1的ARP代理功能
Harbour(config)#config proxyarp subvlan sub1 enable
步骤2 配置ARP代理的搜索时间间隔
Harbour(config)#config proxyarp searchtime 120
Now search List aging time is 120(s)
步骤3 配置ARP代理的老化时间
Harbour(config)#config proxyarp agetime 300
步骤4 显示Sub VLAN sub1的ARP代理设置
Harbour(config)#show proxyarp subvlan sub1

----Begin to show this subvlan proxyarp status----

Subvlan Name : sub1

Search List aging time : 120(s)
Cache entry aging time : 300(s)
Proxy ARP status : Enable

-----End to show this subvlan proxyarp status-----

步骤5 显示系统当前的ARP代理表项
Harbour(config)#show proxyarp table
Begin to show proxyarp table information
Ip Address Mac Address Subvlan timeout (s)
--------------------------------------------------------------
192.168.0.200 00:50:fc:3c:13:d0 sub 210
--------------------------------------------------------------
Total proxyarp entries: 1
End to show proxyarp table information

9.7 配置Local Proxy ARP

在如下图所示的网络拓扑中，存在如下需求：
隔离二层的所有流量，全部通过三层设备完成用户间通信
所有流量经过 L3 设备，便于管理，适用于计费、网络监控等应用

9-10
 第 9 章 配置 VLAN

用较便宜的二层交换机实现端口隔离，用贵一些的三层设备进行转发
L2 设备下面，condominium 里面可能会还有 L3 设备，该 L3 设备和 L2 设备之
下的其他设备的通信也需要集中到 L3 设备上去
为满足以上需求，系统支持 Local Proxy ARP 功能。Local Proxy ARP 基于接口实
现，侦听子网内的所有 ARP 请求，用三层设备的主机路由表项支持用户间的通信。

图9-2 Local Proxy ARP 应用组网图

L2 sw Room1_1
Isolated
IP Phone
Data End Station

L2 switch
.
. Room1_2
L3 switch
. IP Phone
Data End Station
Condominium 1

Condominium 2

Condominium n

Requirement added by us

L3 switch

命令 config local-proxy-arp 可以打开 VLAN 的 Local Proxy ARP 功能。VLAN 必须

配置了 IP 地址才能打开 local-proxy-arp，删除 VLAN 接口，该功能会被关闭。

Sub-interface 功能、Super VLAN 功能及 VRRP 功能不能与

Local Proxy ARP 功能同时使用。
注意

9.8 配置扩展ARP代理和直连路由

扩展 ARP 代理是为某些特殊的网络拓扑设计的。如图 9-3 所示，用户特殊的网络

拓扑使得通常的路由管理不能连通 network1 上 host_1 的视频组播源 Video
collector1 和 network3 上的主机。其原因在于：L3 switch 和 host_1 直连的接口在

9-11
第 9 章 配置 VLAN

network2 上，和 network1 不在同一网段。这样的组播源很多，网络拓扑无法改变。

图9-3 扩展 ARP 代理应用组网图

Network1
Network2
Network3
END station END station [Mcast client]
With ipaddr[network2|host_2] With ipaddr[network3|host_3]

IP route: Video collector1 nexthop Vlan1

Vlan1 [network2]

Vlan2 [network3]

L3 switch

Video collectors's ipaddr is fixed, and can

not be changed, vlan ipaddr also can not
be changed
Video collecter1[Mcast server]
With ipaddr: [network1|host_1]

为满足以上需求，为 L3 switch 增加了扩展 ARP 代理以及下一跳是接口的直连路由

功能。
扩展 ARP 代理
扩展 ARP 代理实现了外部网段的 ARP 代理。
L3 switch 代理响应 Video collector1 的所有 ARP 请求，network2 内的请求也要
应答。
ARP 请求除了送 CPU 以外，还会转发，用户配置时需要确认正确性，否则可能
会带来另一个 ARP 响应。
目前不支持 Super VLAN 配置扩展 ARP 代理。
下一跳是接口的直连路由
路由的目的 IP 是一个主机地址。
路由的下一跳不是一个具体的 IP 地址，而是一个 VLAN 接口。
路由可以通过动态路由协议广播出去。
在协议栈的 IP 转发流程中，如果匹配这条路由则触发 VLAN 接口上的 ARP 过
程。
目前不支持到 Super VLAN 的路由。

9-12
 第 9 章 配置 VLAN

表9-1 扩展 ARP 代理和直连路由配置命令

config ext-proxy-arp <vlanname>
[enable|disable]
show ext-proxy-arp
ip route <A.B.C.D/M>
<interface_name>
在VLAN上启动或关闭扩展ARP代理
显示VLAN的扩展ARP代理配置信息
配置直连的接口路由

9.9 命令参考

9.9.1 config ext-proxy-arp

config ext-proxy-arp <vlanname> [enable|disable]

命令格式

命令功能 打开或关闭 VLAN 的扩展 ARP 代理功能。

命令模式 配置模式

参数说明 参数 说明
<vlanname> VLAN名称
[enable|disable] 打开或关闭

默认状态 扩展 ARP 代理功能关闭。

使用指导 VLAN 必须有 IP 接口才能打开扩展 ARP 代理功能。

Harbour(config)# config ext-proxy-arp vlan1 enable

配置实例

show ext-proxy-arp
相关命令 ip route <A.B.C.D/M> <interface_name>

9.9.2 config local-proxy-arp

config local-proxy-arp <vlanname> [enable|disable]

命令格式

命令功能 打开或关闭 VLAN 的 Local Proxy ARP 功能。

命令模式 配置模式

9-13
第 9 章 配置 VLAN

参数说明 参数 说明
<vlanname> VLAN名称
[enable|disable] 打开或关闭

默认状态 在默认情况下接口的 Local Proxy ARP 功能关闭。

使用指导 该配置可以保存。
VLAN 必须配置了 IP 地址才能打开 local-proxy-arp，删除 VLAN 接口，该
功能会被关闭。打开该功能时关闭接口产生 redirect 报文的能力，关闭该
功能时也要恢复接口产生 redirect 报文的能力。

Harbour(config)# config local-proxy-arp default enable

配置实例

show local-proxy-arp
相关命令

9.9.3 config proxyarp

config proxyarp [supervlan|subvlan] <vlanname> [enable|disable]

命令格式

命令功能 打开或关闭某一 Super VLAN 或者 Sub VLAN 的 ARP 代理功能。

命令模式 配置模式

参数说明 参数 说明
<vlanname> VLAN名称

Harbour(config)#config proxyarp subvlan sub enable

配置实例

show proxyarp
相关命令

9.9.4 config proxyarp agetime

config proxyarp agetime <0-196605>

命令格式

命令功能 配置 ARP 代理的老化时间。

命令模式 配置模式

参数说明 参数 说明

9-14
 第 9 章 配置 VLAN

<0-196605> Proxy ARP的老化时间，单位：秒

Harbour(config)#con proxyarp agetime 321

配置实例 Now Proxyarp entry aging time is 321(s)
Harbour(config)#sh pro sub sub

----Begin to show this subvlan proxyarp status----

Subvlan Name : sub

Search List aging time : 123(s)
Cache entry aging time : 321(s)
Proxy ARP status : Enable

-----End to show this subvlan proxyarp status-----

show proxyarp table {<A.B.C.D>}*1

9.9.5 config proxyarp delete

config proxyarp delete <A.B.C.D>

命令格式

命令功能 根据 IP 删除相应 ARP 代理的表项。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 指定的IP地址

Harbour(config)#config proxyarp delete 192.168.0.200

配置实例

show proxyarp table

相关命令

9.9.6 config proxyarp searchtime

config proxyarp searchtime <0-300>

命令格式

命令功能 配置 ARP 代理的搜索时间间隔。

命令模式 配置模式

参数说明 参数 说明
<0-300> Proxy ARP的搜索时间间隔，单位：秒

Harbour(config)#config proxyarp searchtime 123

配置实例 Now search List aging time is 123(s)
Harbour(config)#sh pro sub sub

9-15
第 9 章 配置 VLAN

----Begin to show this subvlan proxyarp status----

Subvlan Name : sub

Search List aging time : 123(s)
Cache entry aging time : 300(s)
Proxy ARP status : Enable

-----End to show this subvlan proxyarp status-----

config proxyarp agetime <0-196605>

9.9.7 config sub-interface ipaddress

config sub-interface <subifname> ipaddress <A.B.C.D/M>

命令格式
config sub-interface <subifname> ipaddress <A.B.C.D> <A.B.C.D>

命令功能 配置 VLAN 子接口的 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<subifname> 要配置的子接口的名称
<A.B.C.D/M> 要在子接口上配置的IP地址
<A.B.C.D> <A.B.C.D> 要在子接口上配置的IP地址

配置实例 给子接口 default_1 配置 IP 地址 1.1.1.1/24：

Harbour(config)# config sub-interface default_1 ipaddress 1.1.1.1/24

no sub-interface ipaddress
相关命令
show sub-interface

9.9.8 config vlan [add|delete] port

config vlan <name> [add|delete] port <portlist> [tagged|untagged]

命令格式

命令功能 在 VLAN 中加入端口，可以指定是否使用 802.1Q tag。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN的名称
<portlist> 端口列表
tagged 向VLAN添加tagged端口
9-16 untagged 向VLAN添加untagged端口
 第 9 章 配置 VLAN

untagged 向VLAN添加untagged端口

使用指导 端口可以以两种形式属于某个 VLAN，分别是 IEEE 802.1Q tagged 模式和

IEEE 802.1Q untagged 模式。一个端口在 IEEE 802.1Q untagged 模式下
只能属于一个 VLAN，以 IEEE 802.1Q tagged 模式可以属于多个 VLAN。
向一个指定 VLAN 中添加 IEEE 802.1Q untagged 端口时，如果该端口属
于 Default VLAN，则该端口可以添加到指定的 VLAN 中，同时交换机会自
动从 Default VLAN 中将该端口删除；如果该端口不属于 Default VLAN，
那么该端口肯定以 IEEE 802.1Q untagged 模式属于某个其他 VLAN，则不
能将该端口添加到指定的 VLAN 当中。
往一个指定 VLAN 中添加 IEEE 802.1Q tagged 端口时，不再受该端口与其
他 VLAN 关系的限制。如果该端口已经以 IEEE 802.1Q untagged 模式属
于该 VLAN 时，端口可以添加成功，但该端口将不再以 untagged 模式属于
该 VLAN。

config port [add|delete] vlan （该命令位于“配置端口”一章）

相关命令

9.9.9 config vlan [add|delete] subvlan

config vlan <name> [add|delete] subvlan <name>

命令格式

命令功能 向一个 Super VLAN 中添加或删除 Sub VLAN。

命令模式 配置模式

参数说明 参数 说明
第一个<name> Super VLAN的名称
第二个<name> Sub VLAN的名称

Harbour(config)# config vlan super add subvlan sub

配置实例

9.9.10 config vlan ipaddress

config vlan <name> ipaddress <A.B.C.D/M>

命令格式
config vlan <name> ipaddress <A.B.C.D> <A.B.C.D>

命令功能 配置 VLAN 的 IP 地址。

命令模式 配置模式

9-17
第 9 章 配置 VLAN

参数说明 参数 说明
<name> VLAN的名称
<A.B.C.D/M> VLAN配置的IP地址和子网掩码
<A.B.C.D> <A.B.C.D> VLAN配置的IP地址和子网掩码

使用指导 在一台交换机中，不同 VLAN 必须配置成不同子网段的 IP 地址。

配置实例 给缺省 VLAN default 配置一个 IP 地址 192.168.0.232，子网掩码数为 24：

Harbour(config)#config vlan default ipaddress 192.168.0.232/24

no vlan ip
相关命令

9.9.11 config vlan uplink_port

config vlan <name> uplink_port <portno>

命令格式

命令功能 为 VLAN 设置上行端口，创建 VLAN 端口隔离。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称
<portno> 上行口端口号

Harbour(config)#config vlan iso_vlan uplink_port 1

配置实例

no vlan uplink_port
相关命令

9.9.12 create sub-interface vlan

create sub-interface <subifname> vlan <vlanname>

命令格式

命令功能 创建 VLAN 子接口。

命令模式 配置模式

参数说明 参数 说明
<subifname> 要创建的子接口的名称
<vlanname> 子接口所在VLAN的名称

9-18
 第 9 章 配置 VLAN

使用指导 子接口的名称建议采用 VLAN 名称加“_”开头。

配置实例 在 VLAN default 上创建一个名称为 default_1 的子接口：

Harbour(config)# create sub-interface default_1 vlan default

delete sub-interface vlan

相关命令

9.9.13 create vlan

create vlan <name>

命令格式

命令功能 创建 VLAN 并指定名称。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称

Harbour(config)# create vlan market

配置实例

delete vlan
相关命令

9.9.14 delete sub-interface vlan

delete sub-interface <subifname> vlan <vlanname>

命令格式

命令功能 删除 VLAN 子接口。

命令模式 配置模式

参数说明 参数 说明
<subifname> 子接口的名称
<vlanname> 子接口所在VLAN的名称

配置实例 在 VLAN default 上删除一个名称为 default_1 的子接口：

Harbour(config)#delete sub-interface default_1 vlan default

create sub-interface vlan

相关命令

9-19
第 9 章 配置 VLAN

9.9.15 delete vlan

delete vlan [<name>|all]

命令格式

命令功能 删除 VLAN。

命令模式 配置模式

参数说明 参数 说明
<name> 指定删除的VLAN
all 删除所有的VLAN（default除外）

使用指导 删除一个 VLAN 后，该 VLAN 的 untagged 模式的端口将被以 untagged 模

式放回缺省 VLAN default 中。

create vlan
相关命令

9.9.16 ip route <A.B.C.D/M>

<interface_name>

ip route <A.B.C.D/M> <interface_name>

命令格式
no ip route <A.B.C.D/M> <interface_name>

命令功能 创建一条直连的接口路由。
删除一条直连的接口路由。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D/M> 路由的目的IP
<interface_name> 下一跳接口名称

使用指导 指定的下一跳接口存在，才可以创建直连的接口路由。

Harbour(config)# ip route 1.2.1.1/32 interface vlan1

配置实例

config ext-proxy-arp
相关命令

9-20
 第 9 章 配置 VLAN

9.9.17 no sub-interface ipaddress

no sub-interface <subifname> ipaddress

命令格式

命令功能 删除 VLAN 子接口上的 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<subifname> 要配置的子接口的名称

配置实例 删除子接口 default_1 配置 IP 地址：

Harbour(config)#no sub-interface default_1 ipaddress

config sub-interface ipaddress

相关命令

9.9.18 no vlan ip

no vlan <name> ip
命令格式

命令功能 删除 VLAN 的 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称

配置实例 删除 vlan market 的 IP 地址：

Harbour(config)#no ip-vlan market

config vlan ipaddress

相关命令

9.9.19 no vlan uplink_port

no vlan <name> uplink_port

命令格式

命令功能 取消 VLAN 端口隔离配置。

命令模式 配置模式

9-21
第 9 章 配置 VLAN

参数说明 参数 说明
<name> VLAN名称

Harbour(config)# no vlan iso_vlan uplink_port

配置实例

config vlan uplink_port

相关命令

9.9.20 show ext-proxy-arp

show ext-proxy-arp {<vlanname>}*1

命令格式

命令功能 显示 VLAN 的扩展 ARP 代理配置信息。

命令模式 配置模式

参数说明 参数 说明
<vlanname> VLAN名称

Harbour(config)# show ext-proxy-arp vlan1

配置实例

config ext-proxy-arp
相关命令

9.9.21 show local-proxy-arp

show local-proxy-arp {<vlanname>}*1

命令格式

命令功能 显示 VLAN 的 Local Proxy ARP 功能配置。

命令模式 配置模式

参数说明 参数 说明
<vlanname> VLAN名称

使用指导 如果不键入 VLAN 名称，就显示所有 VLAN 的 Local Proxy ARP 配置。该

配置不可以保存。

Harbour(config)# show local-proxy-arp

配置实例

9-22
 第 9 章 配置 VLAN

config local-proxy-arp
相关命令

9.9.22 show proxyarp

show proxyarp [supervlan|subvlan] <vlanname>

命令格式

命令功能 显示某一 Super VLAN 或 Sub VLAN 的 ARP 代理设置。

命令模式 只读模式、配置模式

参数说明 参数 说明
<vlanname> VLAN名称

Harbour(config)#show proxyarp subvlan sub

配置实例

config proxyarp
相关命令

9.9.23 show proxyarp table

show proxyarp table {<A.B.C.D>}*1

命令格式

命令功能 显示全部或某一指定 IP 地址的 ARP 代理表项的信息。

命令模式 只读模式、配置模式

参数说明 参数 说明
<A.B.C.D> 显示某一指定IP地址的ARP代理表项

Harbour(config)#show proxyarp table

配置实例 Begin to show proxyarp table information
Ip Address Mac Address Subvlan timeout (s)
-------------------------------------------------------------------
-
192.168.0.200 00:50:fc:3c:13:d0 sub 210
-------------------------------------------------------------------
-
Total proxyarp entries: 1
End to show proxyarp table information

config proxyarp delete

相关命令

9-23
第 9 章 配置 VLAN

9.9.24 show sub-interface

show sub-interface {vlan <name>}*1

命令格式

命令功能 显示 VLAN 上子接口的配置信息。

命令模式 配置模式

参数说明 参数 说明
<name> 子接口所在的VLAN的名称

配置实例 显示 VLAN default 上配置的子接口：

Harbour(config)#show sub-interface default

config sub-interface ipaddress

相关命令

9.9.25 show vlan

show vlan {<name>}*1

命令格式

命令功能 显示 VLAN 的配置信息。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称

9-24
 第 10 章 配置 STP/RSTP

10 第10章 配置 STP/RSTP

10.1 概述

STP（生成树协议）是一个二层管理协议。在一个扩展的局域网中参与 STP 的所有

交换机之间通过交换桥协议数据单元 BPDU（Bridge Protocol Data Unit）来实现；
为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选择一台指定交换机；将
冗余路径上的交换机置为 Blocking，来消除网络中的环路。
IEEE 802.1d 是最早关于 STP 的标准，它提供了网络的动态冗余切换机制。STP 使
您能在网络设计中部署备份线路，并且保证：
在主线路正常工作时，备份线路是关闭的。
当主线路出现故障时自动使能备份线路，切换数据流。
RSTP（Rapid Spanning Tree Protocol）是 STP 的扩展，其主要特点是增加了端口
状态快速切换的机制，能够实现网络拓扑的快速转换。

10.2 设置STP模式

使用命令 config spanning-tree mode 可以设置 STP 模式为 802.1d STP 或者

802.1w RSTP。

10.3 配置STP

交换机中默认存在一个 default STP 域。多域 STP 是扩展的 802.1d，它允许在同一

台交换设备上同时存在多个 STP 域，各个 STP 域都按照 802.1d 运行，各域之间互
不影响。它提供了一种能够更为灵活和稳定网络环境，基本实现在 VLAN 中计算生
成树。

10-1
第 10 章 配置 STP/RSTP

10.3.1 创建或删除STP

利用命令 create stpd 和 delete stpd 可以创建或删除 STP。

缺省的 default STP 域不能手工创建和删除。

10.3.2 使能或关闭STP

交换机中 STP 缺省状态是关闭的。利用命令 config stpd 可以使能或关闭 STP。

10.3.3 使能或关闭指定STP的端口

交换机中所有端口默认都是参与 STP 计算的。使用命令 config stpd port 可以使能

或关闭指定的 STP 端口。

10.3.4 配置STP的参数

运行某个指定 STP 的 STP 协议后，可以根据具体的网络结构调整该 STP 的一些参

数。交换机中可以调整以下的 STP 协议参数：
Bridge Priority
Hello Time
Forward Delay
Max Age
另外每个端口上可以调整以下参数：
Path Cost
Port Priority

表10-1 配置 STP 参数的常用命令

config stpd forwarddelay 配置根桥交换机端口状态切换的时间间隔
config stpd hellotime 配置根桥交换机发送BPDU的时间间隔
config stpd maxage 配置BPDU报文老化的最长时间间隔
config stpd priority 配置运行STP协议时本交换机的优先级
config stpd port cost 配置参与STP计算端口的路径开销
config stpd port priority 配置参与STP计算的端口的优先级

10-2
 第 10 章 配置 STP/RSTP

10.3.5 显示STP状态

利用命令 show stpd 可以查看 STP 的状态，包括：

BridgeID
Root BridgeID
STP 的各种配置的参数
利用命令 show stpd port 可以显示端口的 STP 状态，包括：
端口状态
Designated port
端口的各种配置参数

10.4 配置RSTP

10.4.1 使能或者关闭RSTP

交换机中 RSTP 功能是默认关闭的。使用命令 config spanning-tree 可以使能或者

关闭 RSTP 功能。

10.4.2 使能或者关闭端口的RSTP功能

交换机中所有端口都是默认参与 RSTP 计算的。使用命令 config spanning-tree port

可以使能或者关闭端口的 RSTP 功能。

10.4.3 配置RSTP参数

运行了 RSTP 协议，可以需要根据具体的网络结构调整 RSTP 的一些参数：

Bridge Priority
Hello Time
Forward Delay
Max Age
Force-version

10-3
第 10 章 配置 STP/RSTP

另外，每个端口可以调整以下参数：
Path Cost
Port Priority
P2P 属性
Edge 属性

表10-2 配置 RSTP 参数的常用命令

config spanning-tree priority 配置运行RSTP协议时本交换机的优先级
config spanning-tree hello-time 配置本交换机发送BPDU的时间间隔
config spanning-tree 配置本交换机端口状态切换的时间间隔
forward-delay
config spanning-tree 配置BPDU报文老化的最长时间间隔
maximum-age
config spanning-tree port priority 配置参与RSTP计算的端口的优先级
config spanning-tree port 配置参与RSTP计算的端口的路径开销
[path-cost]
config spanning-tree 配置交换机的STP协议的版本
[force-version]
config spanning-tree port p2p 配置端口的P2P属性
config spanning-tree port [edge] 配置端口的Edge属性

10.4.4 显示RSTP状态

使用命令 show spanning-tree 可以显示交换机 RSTP 的状态。

RSTP 的显示内容：
BridgeID
Root BridgeID
RSTP 的各种配置的参数

使用命令 show spanning-tree port 可以显示端口的 RSTP 状态，包括：

端口状态
端口配置参数

10-4
 第 10 章 配置 STP/RSTP

10.5 常用调试功能

10.5.1 debug stpd

应用环境

可以打印出 STP 的调试信息。

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用 no debug stpd 命令禁用此功能。

10.5.2 debug spanning-tree

应用环境

可以打印出 RSTP 的调试信息。

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用 no debug spanning-tree 命令禁用此功能。

10-5
第 10 章 配置 STP/RSTP

10.6 命令参考

10.6.1 config spanning-tree

config spanning-tree [enable | disable]

命令格式

命令功能 使能或关闭 RSTP 功能。

命令模式 配置模式

参数说明 参数 说明
[enable | disable] 使能或关闭

Harbour(config)# config spanning-tree enable

配置实例

10.6.2 config spanning-tree

[force-version]

config spanning-tree [force-version] [0 | 2]

命令格式

命令功能 配置交换机的 STP 协议的版本。

命令模式 配置模式

参数说明 参数 说明
0 交换机运行老的STP协议
2 交换机运行RSTP协议

默认状态 交换机默认执行 RSTP 协议。

使用指导 为了兼容 IEEE 802.1d 标准规定的 STP 协议，在 RSTP 运算中，用户可以

设置交换机运行 802.1d 的 STP 协议。

设置交换机运行IEEE 802.1d STP协议：

配置实例
Harbour(config)# config spanning-tree force-version 0

10-6
 第 10 章 配置 STP/RSTP

10.6.3 config spanning-tree

forward-delay

config spanning-tree forward-delay <4-30>

命令格式

命令功能 设置本交换机端口状态切换的时间间隔（ForwardDelay）。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<4-30> ForwardDelay，单位：秒 15

使用指导 Hello-time、Max-Age 和 Forward-Delay 的配置值必须满

足以下关系：
注意 2*(Hello-time + 1) <= Max-Age <= 2*(Forward-Delay -1)

配置实例 设置本交换机端口状态切换的时间间隔为 10 秒：
Harbour(config)# config spanning-tree forward-delay 10

10.6.4 config spanning-tree hello-time

config spanning-tree hello-time <1-10>

命令格式

命令功能 设置本交换机发送 BPDU 的时间间隔。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<1-10> 发送BPDU的时间间隔，单位：秒 2

配置实例 设置本交换发送 BPDU 的时间间隔为 4 秒：

Harbour(config)# config spanning-tree hello-time 4

10.6.5 config spanning-tree

maximum-age

config spanning-tree maximum-age <6-40>

命令格式

10-7
第 10 章 配置 STP/RSTP

命令功能 配置 BPDU 报文老化的最长时间间隔（Maximum-age）。

命令模式 配置模式

参数说明 参数 说明
<6-40> Maximum-age，单位：秒

使用指导 如果收到超过这个时间的 BPDU 报文，就直接丢弃。

Hello-time、Max-Age 和 Forward-Delay 的配置值必须满
足以下关系：
注意 2*(Hello-time + 1) <= Max-Age <= 2*(Forward-Delay -1)

配置实例 设置 RSTP BPDU 报文老化的最长时间间隔为 30 秒：

Harbour(config)# config spanning-tree maximum-age 30

10.6.6 config spanning-tree mode

config spanning-tree mode [stp|rstp]

命令格式

命令功能 设置 STP 模式为 STP 或 RSTP。

命令模式 配置模式

参数说明 参数 说明
[stp|rstp] STP或RSTP模式

Harbour(config)# config spanning-tree mode stp

配置实例

10.6.7 config spanning-tree port

config spanning-tree port <portlist> [none-stp] [yes | no ]

命令格式

命令功能 使能或者关闭端口的 RSTP 功能。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
[yes | no ] 关闭或使能

10-8
 第 10 章 配置 STP/RSTP

配置实例 关闭指定端口 10 的 RSTP 功能：

Harbour(config)# config spanning-tree port 10 none-stp yes

10.6.8 config spanning-tree port [edge]

config spanning-tree port <port> [edge] [yes | no]

命令格式

命令功能 配置端口的 Edge 属性。

命令模式 配置模式

参数说明 参数 说明
<port> 端口
[yes | no] 是否进行快速状态转换

使用指导 当交换机的这个端口直接与主机相连，或者这个端口再不与其他交换机连
接的情况下，可以设置端口的 edge 属性为 yes，这样可以使得端口可以进
行快速的状态转换。

配置实例 设置端口 10 的 edge 属性为真：

Harbour(config)# config spanning-tree port 10 edge yes

10.6.9 config spanning-tree port

[mcheck] [yes]

config spanning-tree port [<portlist>|all] [mcheck] [yes]

命令格式

命令功能 强制端口发送 version 2 的 RSTP 报文。

命令模式 配置模式

10.6.10 config spanning-tree port p2p

config spanning-tree port <port> p2p [yes | no | auto]

命令格式

命令功能 配置端口的 P2P 属性。

命令模式 配置模式

10-9
第 10 章 配置 STP/RSTP

参数说明 参数 说明
<port> 端口
yes 利用RSTP运算进行端口状态的快速转移
no 不配置
auto RSTP自动检测端口的P2P类型

默认状态 auto，RSTP 自动检测端口的 P2P 类型。

配置实例 设置端口 10 的 P2P 属性为真：

Harbour(config)# config spanning-tree port 10 p2p yes

10.6.11 config spanning-tree port

[path-cost]

config spanning-tree port <port> [path-cost] [auto | <1-200000000>]

命令格式

命令功能 配置参与 RSTP 计算的端口的路径开销。

命令模式 配置模式

参数说明 参数 说明
<port> 端口
auto 端口路径开销使用系统的默认设置
<1-200000000> 设定端口的路径开销

使用指导 端口路径开销设置为 auto 时，由 RSTP 自动检测端口类型，从而决定参加

RSTP 计算的端口的端口路径开销。
10Mbps 端口缺省值为 2000000
100Mbps 端口缺省值为 200000
1000Mbps 端口缺省值为 20000

配置实例 设置参与 RSTP 计算的端口 10 的路径开销为 300000：

Harbour(config)# config spanning-tree port 10 path-cost 300000

10.6.12 config spanning-tree port

priority

config spanning-tree port <port> [priority] <0-240>

命令格式

10-10
 第 10 章 配置 STP/RSTP

命令功能 配置参与 RSTP 计算的端口的优先级。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<port> 指定端口 ——
<0-240> 端口优先级 128

使用指导 端口优先级的值应该是 16 的倍数。优先级数值越低，端口越容易成为根端

口（Root Port），优先级值为 0 代表了最高的优先级。

配置实例 设置参与 RSTP 计算的端口 10 的优先级为 96：

Harbour(config)# config spanning-tree port 10 priority 96

10.6.13 config spanning-tree priority

config spanning-tree priority <0-61440>

命令格式

命令功能 设置运行 RSTP 协议时本交换机的优先级。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<0-61440> 优先级 32768

使用指导 交换机优先级数值越低，越有可能成为网络中的根桥（Root Bridge）

。优先
级值为 0 代表了最高的优先级。交换机的优先级数值应该是 4096 的倍数。

配置实例 设置运行 RSTP 协议时本交换机的优先级为 8192：

Harbour(config)# config spanning-tree priority 8192

10.6.14 config stpd

config stpd <name> [enable | disable]

命令格式

命令功能 使能或关闭 STP。

命令模式 配置模式

10-11
第 10 章 配置 STP/RSTP

参数说明 参数 说明
<name> STP名称
[enable | disable] 使能或关闭

默认状态 STP 默认关闭。

10.6.15 config stpd forwarddelay

config stpd <name> forwarddelay <4-30>

命令格式

命令功能 配置根桥交换机端口状态切换的时间间隔。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<name> STPD名称 ——
<4-30> ForwardDelay的取值范围，单位：秒 15

使用指导
ForwardDelay 的时间必须大于等于 HelloTime+2。
注意

10.6.16 config stpd hellotime

config stpd <name> hellotime <1-10>

命令格式

命令功能 配置当交换机对于此 STPD 是根桥时发送 BPDU 的时间间隔。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<name> STPD名称 ——
<1-10> HelloTime，单位：秒 2

使用指导
HelloTime 必须小于等于 ForwardDelay-2。
注意

10-12
 第 10 章 配置 STP/RSTP

10.6.17 config stpd maxage

config stpd <name> maxage <6-40>

命令格式

命令功能 配置 BPDU 报文老化的最长时间间隔。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<6-40> MaxAge的取值范围，单位：秒 20

使用指导 如果交换机所保存的配置 BPDU 超过这个时间，则重新计算根桥。

Maxage 的时间必须大于等于 2*(HelloTime + 1)，小于等

于 2*(ForwardDelay – 1)。
注意

10.6.18 config stpd priority

config stpd <name> priority <0-65535>

命令格式

命令功能 配置运行 STP 协议时本交换机的优先级。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<0-65535> 优先级 32768

使用指导 优先级数值越低，越有可能成为网络中的根桥（Root Bridge）。优先级值为

0 代表了最高的优先级。

10.6.19 config stpd vlan

config stpd <name> [add | delete] vlan <name>

命令格式

命令功能 为 STP 域中增加或删除端口。

命令模式 配置模式

10-13
第 10 章 配置 STP/RSTP

参数说明 参数 说明
stpd <name> STP域的名称
[add | delete] 增加或删除
vlan <name> VLAN的名称

使用指导 为 STP 域中增加或删除端口是通过为 STP 域增加 VLAN 实现的。属于

VLAN 的 untag 端口属于 STP 域。
VLAN default 只能属于 default STP 域。

10.6.20 config stpd default hellotime

10.6.21 config stpd port

config stpd <name> port [<portlist>|all] [enable|disable]

命令格式

命令功能 使能或关闭 STP 的端口。

命令模式 配置模式

参数说明 参数 说明
<name> STPD名称
<portlist> 要操作的端口列表
all 对所有端口进行操作
[enable|disable] 使能或关闭

默认状态 所有端口默认参与 STP 计算。

10.6.22 config stpd port cost

config stpd <name> port [<portlist> | all ] cost <1-65535>

命令格式

命令功能 配置参与 STP 计算端口的路径开销。

命令模式 配置模式

参数说明 参数 说明

10-14
 第 10 章 配置 STP/RSTP

<name> SPD名称
<portlist> 端口列表
all 所有端口
<1-65535> 端口的路径开销

使用指导 根据端口的当前速度设置不同的端口路径开销缺省值：
10Mbps 端口缺省值为 100
100Mbps 端口缺省值为 19
1000Mbps 端口缺省值为 4

10.6.23 config stpd port priority

config stpd <name> port [<portlist>|all] priority <0-255>

命令格式

命令功能 配置参与 STP 计算的端口的优先级。

命令模式 配置模式

参数说明 参数 说明
<name> SPD名称
<portlist> 端口列表
all 所有端口
<0-255> 端口优先级系数

使用指导 端口优先级数值越低，端口越容易成为根端口（Root Port），优先级值为 0

代表了最高的优先级。
端口优先级系数和端口优先级的对应关系如下：
0 0
15 0
16 16
239 224
240 240
241 240
255 240

10.6.24 create stpd

create stpd <name>

命令格式

10-15
第 10 章 配置 STP/RSTP

命令功能 创建 STP 域。

命令模式 配置模式

参数说明 参数 说明
<name> STP域名

使用指导 域名为 default 的 STP 域是缺省存在的，不能手工创建和删除。

delete stpd
命令模式

10.6.25 debug spanning-tree

debug spanning-tree [all|rolesel|info|roletrns|sttrans|topoch|

命令格式 migrate|transmit|p2p|edge|pcost|bridge]
no debug spanning-tree [all|rolesel|info|roletrns|sttrans|topoch|
migrate|transmit|p2p|edge|pcost|bridge]

命令功能 配置 RSTP 模块的 debug 功能。

命令模式 配置模式

10.6.26 debug stpd

debug stpd
命令格式
no debug stpd

命令功能 配置 STP 模块的 debug 功能。

命令模式 配置模式

show debug stpd

相关命令 monitor

10.6.27 delete stpd

delete stpd <name>

命令格式

10-16
 第 10 章 配置 STP/RSTP

命令功能 删除 STP 域。

命令模式 配置模式

参数说明 参数 说明
<name> STP域名

使用指导 域名为 default 的 STP 域是缺省存在的，不能手工创建和删除。

create stpd
相关命令

10.6.28 show debug stpd

show debug stpd

命令格式

命令功能 显示 STP 模块 debug 功能的配置信息。

命令模式 配置模式

debug stpd
相关命令

10.6.29 show spanning-tree

show spanning-tree
命令格式

命令功能 显示 RSTP 状态的内容。

命令模式 配置模式

Harbour(config)# show spanning-tree

配置实例
-----------SPANNING TREE infomation in STP domain 2047 ----------
-- Designated Root Info --
Priority : 133726292
MAC address : 00:05:3b:04:00:50
Designated Port ID : 0/13
Max Age : 20
Hello Time : 2
Forward Delay : 15

-- STP Domain Config Info --

Priority : 133726272
MAC address : 22:22:22:22:22:22
Root Port : 0/18

10-17
第 10 章 配置 STP/RSTP

Root Path Cost : 200000

Bridge Max Age : 20
Bridge Hello Time : 2
Bridge Forward Delay : 15
Bridge ForceVersion : 2

-----------All ports infomation in STP domain 2047 ------------

Num pri path--cost role span-state lnk p2p edg pen dcost
designated root id
0/24 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/23 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/22 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/21 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/20 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/19 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/18 128 200000 Root Forwarding Y Y N N 200000
32768:00053b040050
0/17 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/16 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/15 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/14 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/13 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/12 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/11 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/10 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/9 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/8 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/7 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/6 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/5 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/4 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/3 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/2 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050
0/1 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050

------------------------------------------------------------

10-18
 第 10 章 配置 STP/RSTP

10.6.30 show spanning-tree port

show spanning-tree port <port>

命令格式

命令功能 显示端口的 RSTP 状态。

命令模式 配置模式

参数说明 参数 说明
<port> 端口号

显示端口10的STP状态：
配置实例 Harbour(config)# show spanning-tree port 10
----- port 0/0 infomation in STP domain 2047 -----
Num pri path--cost role span-state lnk p2p edg pen dcost
designated root id
0/10 128 2000000 Dis Discarding N N N N 200000
32768:00053b040050

10.6.31 show stpd port

show stpd <name> port [<portlist>|all]

命令格式

命令功能 显示 STPD 端口的状态信息。

命令模式 配置模式

参数说明 参数 说明
< name> STPD名称
[<portlist>|all] 指定端口列表或所有端口

配置实例 显示端口 10 的 STP 状态：

Harbour(config)# show stpd default port 10
-------------------------------------------------------------------
Port 10 's Spanning Tree Protocol Information
Port Join STP Domain default 's Calculate
-- Port Info --
Port id ： 18
Priority ： 120
State ： Disable
Path Cost ： 100
Designated Cost ： 0
-- Designated Port --
Port id ： 18
Priority ： 128
-- Designated Root --

10-19
第 10 章 配置 STP/RSTP

Priority ： 32768
Mac address ： 00：05：3b：00：04：90
-- Designated Bridge --
Priority ： 32768
Mac address ： 00：05：3b：00：04：90
-------------------------------------------------------------------

10.6.32 show stpd

show stpd {<name>}*1

命令格式

命令功能 显示 STPD 的状态信息。

命令模式 配置模式

参数说明 参数 说明
<name> STPD名称

10-20
 第 11 章 配置 IGMP Snooping

11 第11章 配置 IGMP Snooping

11.1 配置IGMP Snooping

11.1.1 启动或关闭IGMP Snooping

使用命令 service igmp snooping 可以启动或关闭 IGMP Snooping。

11.1.2 IGMP Snooping参数配置

表11-1 IGMP Snooping 参数配置常用命令

config igmp snooping 配置路由器端口的超时时间间隔
router_timeout
config igmp snooping host_timeout 配置主机端口的超时时间间隔
clear igmp snooping vlan 清除某个VLAN或所有VLAN中的组成

11.2 配置案例

11.2.1 配置超时时间间隔

案例描述
配置接口的超时时间间隔：router_timeout = 500 秒，host_timeout = 600 秒。
配置步骤
步骤1 启动IGMP Snooping
Harbour(config)# service igmp snooping enable
步骤2 配置router_timeout = 500秒
Harbour(config)#config igmp snooping router_timeout 500
步骤3 配置host_timeout = 600秒
Harbour(config)#config igmp snooping host_timeout 600
步骤4 查看主机和路由器端口的超时时间间隔
Harbour(config)#show igmp snooping summary

11-1
第 11 章 配置 IGMP Snooping

---------- igmp snooping summary ----------

Router timeout 260s(D)
Host timeout 260s(D)
Total group 0
Max group 255
-------------------------------------------
D: default.

11.3 命令参考

11.3.1 clear igmp snooping vlan

clear igmp snooping vlan [name|all]

命令格式

命令功能 清除某个 VLAN 中或所有 VLAN 中的组成员信息列表。

命令模式 配置模式

参数说明 参数 说明
<name> 指定VLAN的名称
all 所有的VLAN

配置实例 清除 default 中的所有组成员关系：

Harbour(config)#clear igmp snooping vlan default

11.3.2 config igmp snooping

host_timeout

config igmp snooping host_timeout <10-2147483647>

命令格式

命令功能 配置主机端口的 IGMP Snooping 超时时间间隔。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<10-2147483647> 超时时间间隔，单位：秒 260

11-2
 第 11 章 配置 IGMP Snooping

11.3.3 config igmp snooping

router_timeout

config igmp snooping router_timeout <10-2147483647>

命令格式

命令功能 配置路由器端口的 IGMP Snooping 超时时间间隔。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<10-2147483647> 超时时间间隔，单位：秒 260

11.3.4 service igmp snooping

service igmp snooping [enable|disable]

命令格式

命令功能 启动或关闭 IGMP Snooping。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 启动或关闭

11.3.5 show igmp-snooping group

show igmp-snooping group {<name>}*1

命令格式

命令功能 显示组播组信息。

命令模式 配置模式

参数说明 参数 说明
<name> igmp snooping组播组的名称

使用指导 不输入参数时，显示交换机中的所有 IGMP snooping 组播组的信息。

Harbour(config)# show igmp-snooping group

配置实例
VLAN ID ： 2047

11-3
第 11 章 配置 IGMP Snooping

Name ： default
MAC address ： 01：00：5e：7f：ff：fa
Ports ： 20 23

VLAN ID ： 2047
Name ： default
MAC address ： 01：00：5e：00：00：09
Ports ： 20 23

VLAN ID ： 2047
Name ： default
MAC address ： 01：00：5e：7f：ff：fe
Ports ： 20 23

……

11.3.6 show igmp-snooping summary

show igmp-snooping summary

命令格式

命令功能 查看主机和路由器端口的超时时间间隔。

命令模式 配置模式

11.3.7 show igmp snooping vlan

show igmp snooping vlan <name>

命令格式

命令功能 显示指定 VLAN 中或所有 VLAN 中的组成员信息。

命令模式 配置模式

参数说明 参数 说明
<name> 指定VLAN的名称

配置实例 显示 default 中的所有组成员关系：

Harbour(config)# show igmp snooping vlan default

11-4
 第 12 章 配置 ARP

12 第12章 配置 ARP

12.1 ARP概述

ARP（Address Resolution Protocol，地址转换协议）提供了主机的 MAC 地址与 IP

地址的映射。交换机会自动学习这种映射并维护映射表。如果对某些特定的主机，
不希望交换机通过自学习的方式获得它们的地址映射，因为在一个庞大的网络中这
种学习可能需要占用一定的时间，同时也有学习不到的危险，也可以通过手工的方
式为这些主机建立静态的地址映射表项。

12.2 命令参考

12.2.1 clear arp

clear arp
命令格式

命令功能 清除 ARP 表中的所有动态表项。

命令模式 配置模式

Harbour(config)# clear arp

配置实例

12.2.2 config arp

config arp add <A.B.C.D> <mac_address>

命令格式
config arp delete <A.B.C.D>

命令功能 添加一条静态 ARP 表项。

删除某个 ARP 表项。

命令模式 配置模式

12-1
第 12 章 配置 ARP

参数说明 参数 说明
<A.B.C.D> IP地址
<mac_address> IP地址对应的MAC地址

配置实例 添加一个静态 ARP 表项：

Harbour(config)#config arp add 10.5.1.32 00E02B123456
删除一个已经存在的 ARP 表项：
Harbour(config)#config arp delete 168.0.1.2

12.2.3 config arp agetime

config arp agetime <1-1440>

命令格式

命令功能 配置 ARP 老化时间。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<1-1440> ARP老化时间，单位：分 20

show arp agetime

相关命令

12.2.4 config arp keep-alive

config arp keep-alive [enable|disable]

命令格式

命令功能 打开/关闭 ARP keep-alive 功能。

命令模式 配置模式

参数说明 参数 说明
enable ARP将要老化时将发一个ARP请求，如果收到回应这条
ARP条目被刷新，不会被删除。如果收不到回应，到达老化
时间时，ARP会被删除
disable ARP老化时直接被删除

默认状态 Enable。

12-2
 第 12 章 配置 ARP

12.2.5 debug arp

debug arp [all|input|output]

命令格式
no debug arp [all|input|output]

命令功能 调试收发 ARP 报文处理的开关。其对应的 no 命令关闭开关。

命令模式 配置模式

参数说明 参数 说明
all 显示所有类型的报文处理信息
input 显示收报的处理信息
output 显示发报的处理信息

12.2.6 show arp

show arp {[<A.B.C.D>|permanent]}*1

命令格式

命令功能 查看 ARP 表。

命令模式 只读模式、配置模式

参数说明 参数 说明
<A.B.C.D> IP地址
permanent 手工创建的静态ARP表

使用指导 不输入任何参数时显示系统中所有 ARP 表项信息，包括动态与静态。输入

IP 地址<A.B.C.D>可以查看指定 IP 地址对应的 ARP 表。输入参数
permanent 时查看系统中所有手工创建的静态 ARP 表。

Harbour(config)#show arp
配置实例
ARP TABLE LIST:

IP ADDRESS MAC ADDRESS TYPE REFERENCE USE

------------------------------------------------------------------
11.1.0.1 00:50:fc:3c:13:d0 DYNAMIC 0 1
------------------------------------------------------------------
TOTAL :1

show arp user

相关命令

12-3
第 12 章 配置 ARP

12.2.7 show arp agetime

show arp agetime

命令格式

命令功能 显示 ARP 老化时间配置。

命令模式 配置模式

config arp agetime

相关命令

12.2.8 show arp summary

show arp summary

命令格式

命令功能 显示 ARP 表中的所有 ARP 表项数。

命令模式 配置模式

Harbour(config)#show arp summary

配置实例 ARP table information
Total 2 information

12.2.9 show arp user

show arp user

命令格式

命令功能 显示所有创建的静态 APR 表项。

命令模式 配置模式

使用指导 show arp permanent 只显示状态为 up 的端口的静态 ARP 表项；show arp

user 显示所有端口（up 或 down）的静态 ARP 表项。

Harbour(config)#show arp user

配置实例 Begin to show arp config table information
Physics Address IP Address Interface
00:11:22:33:44:55 1.1.1.3 default
Total 1 information
End to show arp table information

show arp
相关命令

12-4
 第 13 章 配置 DHCP Relay

13 第13章 配置 DHCP Relay

13.1 概述

13.1.1 DHCP

动态主机配置协议(Dynamic Host Configuration Protocol,简称 DHCP)是基于

TCP/IP 协议簇的一种动态地址分配方案。与手工配置相比，DHCP 具有以下优势：
DHCP 是一种基于公开标准的协议：最早出现于 RFC1531 和 1541,最新的规范
由 IETF 的 RFC2131 和 2132 所定义。
对 IP 地址的动态分配：可规定地址的租借期限，超过租借期限的 IP 地址将被回
收以重新使用。
自动配置：客户端的配置是自动进行的，所有 TCP/IP 参数的分配和改变对用户
来说都是透明的。
DHCP 是基于 BOOTP 的：它提供了更多的特性，更大的分配灵活性，加入了
自动分配可以重用的网络地址和额外的配置选项功能。
当一台连接到 TCP/IP 网络上的计算机启动时，DHCP 能够自动地为这台计算机配
置有关的 TCP/IP 参数，包括 IP 地址、子网掩码、缺省网关、DNS 等等。这样，可
把所有 TCP/IP 协议的配置信息集中地存储到 DHCP 服务器上。集中的存储和管理
能够避免 IP 地址的冲突，同时把管理员从繁重的手工配置劳动中解放出来。网络的
规模越大，DHCP 的优势就越明显。

13.1.2 DHCP Relay ( DHCPR )

如果 DHCP 客户机与 DHCP 服务器在同一个物理网段，则客户机可以正确地获得

动态分配的 ip 地址。如果不在同一个物理网段，则需要 DCHP Relay Agent(中继代
理)。
用 DHCP Relay 代理可以去掉在每个物理的网段都要有 DHCP 服务器的必要,它可
以传递消息到不在同一个物理子网的 DHCP 服务器，也可以将服务器的消息传回给

13-1
第 13 章 配置 DHCP Relay

不在同一个物理子网的 DHCP 客户机。

13.2 配置案例

配置步骤
步骤1 指定DHCP Relay服务监听VLAN接口e2、e3、e4
Harbour(config)# config dhcpr listen add e2
Harbour(config)# config dhcpr listen add e3
Harbour(config)# config dhcpr listen add e4
步骤2 增加一个DHCP服务器，其IP地址为10.7.100.9
Harbour(config)# config dhcpr targetip add 10.7.100.9

步骤3 使能DHCP Relay服务

Harbour(config)# service dhcpr enable
Successfully start dhcp relay
步骤4 显示DHCP Relay服务当前监听的VLAN接口
Harbour(config)# show dhcpr listen

Dhcp relay listen vlan： e2

Dhcp relay listen vlan： e3
Dhcp relay listen vlan： e4
步骤5 显示DHCP Relay服务状态
Harbour(config)# show dhcpr status

Dhcp relay is up
步骤6 显示DHCP服务器的地址
Harbour(config)# show dhcpr targetip

dhcpr target ip 10.7.100.9 id 1

13.3 命令参考

13.3.1 config dhcpr listen

config dhcpr listen [add|delete] <vlanname>

命令格式

命令功能 指定 DHCP Relay 服务所监听的 VLAN 接口。

命令模式 配置模式

参数说明 参数 说明

13-2
 第 13 章 配置 DHCP Relay

[add|delete] 增加/删除VLAN接口
<vlanname> VLAN接口的名称

使用指导 使用此命令时，该 VLAN 接口必须已经分配了 IP 地址。

如果当 dhcpr 服务已经启动的情况下，如果增加或删除了
一个 VLAN 接口，只有重新启动 DHCPR 服务后，该操作
注意 才会生效。

配置实例 指定 DHCP Relay 服务所监听的 VLAN 接口 e2：

Harbour(config)#config dhcpr listen add e2

13.3.2 config dhcpr targetip

config dhcpr targetip [add|delete] <A.B.C.D> {id <1-32>}*1

命令格式

命令功能 增加或删除一个 DHCP 服务器。

命令模式 配置模式

参数说明 参数 说明
[add|delete] 增加或删除
<A.B.C.D> DHCP服务器的IP地址
<1-32> DHCP服务器序号

使用指导 1、如果当 dhcpr 服务已经启动的情况下，如果增加或删除

了一个 DHCP 服务器，只有重新启动 DHCPR 服务后，该
注意 操作才会生效。
2、如果 DHCP 服务器与交换机处于不同网段，需要配置
本交换机到 DHCP 服务器的路由。可以使用 ip route 命令
指定。

配置实例 增加一个 DHCP 服务器，其 IP 地址为 10.7.100.9：

Harbour(config)# config dhcpr targetip add 10.7.100.9

ip route
相关命令

13.3.3 service dhcpr

service dhcpr [enable|disable]

命令格式

13-3
第 13 章 配置 DHCP Relay

命令功能 使能或禁止 DHCP Relay 服务。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 使能或禁止

使用指导 如果没有接口被监听或没有配置 DHCP 服务器，将不能启动 DHCP Relay

服务。并将提示如下错误：
No interface is listened by dhcp relay , Failed to start dhcp relay
/There is no configured target server.

Harbour(config)# service dhcpr enable

配置实例

13.3.4 show dhcpr listen

show dhcpr listen

命令格式

命令功能 显示 DHCP Relay 服务当前监听的 VLAN 接口。

命令模式 只读模式、配置模式

Harbour(config)# show dhcpr listen

配置实例
Dhcp relay listen vlan： e2
Dhcp relay listen vlan： e3
Dhcp relay listen vlan： e4

可以看出，当前 DHCP Relay 服务监听的 vlan 接口有：e2,e3,e4

13.3.5 show dhcpr status

show dhcpr status

命令格式

命令功能 显示 DHCP Relay 服务状态。

命令模式 配置模式

Harbour(config)# show dhcpr status

配置实例
Dhcp relay is down

13-4
 第 13 章 配置 DHCP Relay

表明当前 DHCP Relay 服务没有启动。

13.3.6 show dhcpr targetip

show dhcpr targetip

命令格式

命令功能 显示 DHCP 服务器的地址。

命令模式 只读模式、配置模式

Harbour(config)# show dhcpr targetip

配置实例
dhcpr target ip 10.7.100.9 id 1

可以看出，当前配置的 DHCP 服务器地址有：10.7.100.9。

13-5
 第 14 章 单播路由基本配置

14 第14章 单播路由基本配置

14.1 概述

路由是三层交换机区别于二层交换机的重要概念。三层交换机实现了 IP 协议及相关
的整个 TCP/IP 协议栈，可以提供三层路由转发功能，即跨越不同 IP 网段的 IP 报
文转发。在这个意义上说，三层交换机的功能与 IP 路由器是类似的。
IP 路由是 IP 协议三层转发的控制信息，它说明最终达到某个网段的“下一步”应
转发到哪里。一条 IP 路由的主要内容是目的地址及掩码、下一跳地址、出接口。其
中目的地址及掩码描述目的地信息，下一跳地址和出接口描述在本交换机应该如何
转发这类报文。
路由接口
路由接口是网络第三层的软件接口，提供网络层上连接的服务。路由协议计算，
SNMP 网络管理都要经过交换机的路由接口。系统支持 loopback 环回接口。
单播路由
IPv4 通讯可以分为单播、组播、广播三大类。通常的 IP 数据通讯都使用单播方式，
即每个报文的接收者有一个明确的唯一的 IP 地址。IP 组播可以支持用户将一个数
据流发送给多个接收者，支持组播的网络会自动在适当的位置复制 IP 组播报文，而
不需要数据源重复发出多份数据，可以显著节省网络带宽占用。而广播方式是无条
件地发送给所有 IP 设备，所以它只少量应用在本地网段内部。
在 IP 设备中，单播路由的获得通常有两种途径，一种是静态配置，由网络管理员通
过命令行等手段明确定义，称为静态路由。在较复杂的网络上，静态配置负担太大，
而且难以及时反映网络拓扑的动态变化，这时可以使用动态路由协议。动态路由协
议通过网络设备之间的报文交互，动态地学习网络拓扑信息，自动生成路由信息。
并且能够在网络拓扑变化时比较迅速地传播变动信息，更新每个设备上的路由表。
目前主流的单播路由协议有 RIP V1/V2、OSPF V2 等。

14-1
第 14 章 单播路由基本配置

14.2 配置路由接口

相关命令：
interface <IFNAME>
show interface {<IFNAME>}*1

14.2.1 配置环回接口

环回接口（LoopBack Interface）是一个几乎被所有平台支持，而与硬件设备无关
的纯软件虚接口，主要用于模拟普通的硬件接口。环回接口总是处于“UP”状态，
因此即使在所有外部接口处于“DOWN”状态时，它仍然能够支持边界网关协议
（BGP）和远程源路由桥接协议（RSRB）会话过程。
同时，在所有其它接口处于“DOWN”状态时，LoopBack Interface 可被用作终端
地址以支持 BGP 会话、RSRB 链路以及 Telnet Console 会话。
通过异步接口，LoopBack Interface 可被用于配置 IPX-PPP（在配置前必须确保运
行 IPX 的异步接口已经配置好了相应的 LoopBack Interface）。
外部路由器或访问服务器的数据报文会路由到达 LoopBack Interface，因此必须给
LoopBack Interface 分配一个子网地址。路由到 LoopBack Interface 的数据报文进
行本地处理后又被路由回源外部路由器或访问服务器。
通过 LoopBack Interface 路由出去、但目的地址不是 LoopBack Interface 地址本身
的 IP 报文将被丢弃。也就是说，LoopBack Interface 同时也扮演着 Null 0 interface
的角色。

由于X.21接口定义规范不包括LoopBack的定义，因此X.21
DTE不支持Loopback。
注意

由于自环接口的特殊性，在接口报文统计中收发报文的个数比普通接口多一倍。

配置步骤

步骤1 create interfaces loopback 创建LoopBack Interface

步骤2 config interfaces loopback 配置LoopBack Interface的IP地址

14-2
 第 14 章 单播路由基本配置

ipaddress
步骤3 show interfaces loopback 查看LoopBack Interface的配置信息

配置案例

步骤1 创建LoopBack Interface

Harbour(config)# create interfaces loopback 1
步骤2 配置LoopBack Interface的IP地址
Harbour(config)# config interfaces loopback 1 ipaddress 11.1.1.1/16
步骤3 ping 11.1.1.1
Harbour(config)# ping 11.1.1.1
PING 11.1.1.1 : 56 data bytes.
Press Ctrl-c to Stop.
Reply from 11.1.1.1 : bytes=56: icmp_seq=0 ttl=255 time=0 ms
Reply from 11.1.1.1 : bytes=56: icmp_seq=1 ttl=255 time=0 ms
Reply from 11.1.1.1 : bytes=56: icmp_seq=2 ttl=255 time=0 ms
Reply from 11.1.1.1 : bytes=56: icmp_seq=3 ttl=255 time=0 ms
Reply from 11.1.1.1 : bytes=56: icmp_seq=4 ttl=255 time=0 ms

----11.1.1.1 PING Statistics----

5 packets transmitted, 5 packets received, 0% packet loss

round-trip(ms) min/avg/max = 0/0/0

步骤4 查看LoopBack Interface的配置信息
Harbour(config)# show interfaces loopback 1 accounting
lo (unit number 1, index 2):
Flags: (0x8028) DOWN LOOPBACK MULTICAST ARP
Type: SOFTWARE_LOOPBACK
Metric is 0
Maximum Transfer Unit size is 32784
0 octets received
0 octets sent
0 packets received
0 packets sent
0 broadcast packets received
0 broadcast packets sent
0 multicast packets received
0 multicast packets sent
0 input discards
0 input unknown protocols
0 input errors
0 output errors

14.3 单播路由基本配置

14.3.1 查看路由表

不熟悉三层交换机或路由器的用户首先要了解的是如何查看路由表。路由表的内容
对于正确的报文转发起到关键性作用。查看路由表的命令是 show ip route。例如：

14-3
第 14 章 单播路由基本配置

Harbour(config)#show ip route
Codes： C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O 1.1.0.0/16 [110/10] is directly connected, v2, 00：03：26

C>* 1.1.0.0/16 is directly connected, v2
C>* 2.1.0.0/16 is directly connected, v3
S>* 100.0.0.0/16 [1/0] via 1.1.1.1, v2
S>* 101.0.0.0/24 [1/0] via 2.1.1.1, v3
O>* 120.0.0.0/16 [110/20] via 1.1.1.200, v2, 00：00：36

可以看到，C 开头的路由表示是本交换机的接口路由，它只是说明了本地所直接连
接的网段。S 开头的是静态路由，它是用户配置的。O 开头的是 OSPF 协议自动得
到的路由。
协议类型后面是“*”标志，它说明这个路由当前是生效的。例如第一个路由没有生
效，因为路由表中有了一个相同的接口路由，它的优先级比 OSPF 协议高。
在目的地址后面，[m/n]中的 m 代表路由的优先级。n 代表协议内部的度量值(metric)。
再后面是下一跳地址，和出接口名称（例子中的“v2”
、“v3”
）。最后是路由的生存
时间。
路由的优先级用来管理不同来源的路由。当不同的协议都得到相同目的地的路由时，
系统根据协议的优先级做取舍。协议的优先级是可以由用户修改的。
本系统采用的缺省路由优先级为：
路由类型 缺省优先级
接口路由 0
静态路由 1
RIP 120
OSPF 110

较小的优先级数值代表较高的优先级。
当出接口的状态为 DOWN 时，相关路由会失效或被删除。因为这时交换机不能从
这个接口向外转发报文了。当接口状态变为 UP 时，接口路由和静态路由会立刻生
效，而动态路由也应在较短时间内恢复。

14.3.2 静态路由

静态路由是由用户定义的一条可使数据包从源地址通过指定路径到达目的地址的路
由。当动态路由协议未能创建一条到特定目的的路由时，静态路由就显得尤为重要。

14-4
 第 14 章 单播路由基本配置

还可以通过配置某一静态路由为默认路由，把无路由的数据包发送到默认的网关。

配置案例

步骤1 添加一条静态路由
Harbour(config)# ip route 100.0.0.0/16 1.1.1.1

步骤2 显示静态路由信息
Harbour(config)#show ip route
Codes： C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O 1.1.0.0/16 [110/10] is directly connected, v2, 00：03：26

C>* 1.1.0.0/16 is directly connected, v2
C>* 2.1.0.0/16 is directly connected, v3
S>* 100.0.0.0/16 [1/0] via 1.1.1.1, v2
S>* 101.0.0.0/24 [1/0] via 2.1.1.1, v3
O>* 120.0.0.0/16 [110/20] via 1.1.1.200, v2, 00：00：36

14.3.3 默认路由

有一类特殊的路由称为默认路由（或缺省路由），即目的地址和掩码为 0.0.0.0/0 的
路由。它可以匹配任何目的地址，所以每个找不到对应路由的报文都将按默认路由
转发。通常默认路由都是在用户认为有必要时通过静态路由配置的。
例如：ip route 0.0.0.0/0 10.0.0.1
这时，本交换机将把每个没有对应路由的报文转发到 10.0.0.1。在网络有一个唯一
出口连接到其他网络时，配置默认路由是很有用的，它可以使交换机所需要的路由
数量大大降低。在计算机上，这个默认路由的下一跳地址称为缺省网关。

14.3.4 配置黑洞路由

黑洞路由是系统把去往某个 IP 地址的包在硬件中丢弃的一种自动保护机制，
使 CPU
不受大流量冲击的作用。黑洞路由应用在网络中主要用于避免由于路由的聚合造成
的路由环路，也可以实现网络中的访问控制，即通过配置一条黑洞路由来限制网络
中的某 IP 网段的用户访问特定的服务。
黑洞路由可以静态配置，也可以动态学习。

14-5
第 14 章 单播路由基本配置

配置动态黑洞路由

步骤1 config ip route blackhole timeout 配置黑洞路由的老化时间

步骤2 show ip route blackhole 显示黑洞路由的配置信息

配置静态黑洞路由

静态黑洞路由是通过配置一条下一跳为 null0 接口的静态路由来实现的，null0 接口

（黑洞接口）
，它是一个永远处于 active 状态的逻辑接口。Null0 接口丢弃所有需要
从它发出的数据包。

14.4 命令参考

14.4.1 [create|no] interfaces loopback

[create|no] interface loopback <1-31>

命令格式

命令功能 创建或删除指定的 LoopBack Interface。

命令模式 配置模式

参数说明 参数 说明
<1-31> LoopBack Interface号

配置实例 创建编号为 1 的 LoopBack Interface：

Harbour(config)# create interfaces loopback 1
删除编号为 1 的 LoopBack Interface：
Harbour(config)# no interfaces loopback 1

14.4.2 clear ip route

[<A.B.C.D/M>|all]

clear ip route [<A.B.C.D/M>|all]

命令格式

命令功能 在路由表内的路由信息有误的情况下，通过刷新单条路由或整个路由表，
确保路由信息的准确性。

命令模式 配置模式

14-6
 第 14 章 单播路由基本配置

参数说明 参数 说明
<A.B.C.D/M> 由IP地址和子网掩码确定的单个路由表项
all 整个路由表

14.4.3 clear ip route static

clear ip route static

命令格式

命令功能 删除所有的静态路由。

命令模式 配置模式

Harbour(config)# clear ip route static

配置实例

ip route
相关命令

14.4.4 config interfaces loopback

ipaddress

config interfaces loopback <1-31> ipaddress <A.B.C.D/M>

命令格式
no interfaces loopback <1-31> ipaddress

命令功能 配置 LoopBack Interface 的 IP 地址。

其对应的 no 命令删除指定 LoopBack Interface 的 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<1-31> LoopBack Interface号
<A.B.C.D/M> IP地址和子网掩码

配置实例 配置编号为 1 的 LoopBack Interface 的 IP 地址：

Harbour(config)# config interfaces loopback 1 ipaddress
192.168.1.30/24
删除编号为 1 的 LoopBack Interface 的 IP 地址：
Harbour(config)# no interfaces loopback 1 ipaddress

14-7
第 14 章 单播路由基本配置

14.4.5 config ip route blackhole

timeout

config ip route blackhole timeout <0-1200>

命令格式

命令功能 配置黑洞路由的老化时间。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<0-1200> 老化时间，单位：秒 300

show ip route blackhole

相关命令

14.4.6 ip route

ip route <A.B.C.D/M> <A.B.C.D> {<1-255>}*1

命令格式
ip route <A.B.C.D > <A.B.C.D> <A.B.C.D>{<1-255>}*1
no ip route <A.B.C.D/M> <A.B.C.D> {<1-255>}*1
no ip route <A.B.C.D> <A.B.C.D> <A.B.C.D> {<1-255>}*1

命令功能 增加静态路由。
对应的 no 命令删除静态路由。

命令模式 配置模式

使用指导 在较简单的网络环境中不需要运行路由协议时，或由于某种原因需要人为
指定路由时，使用静态路由是很合适的。如果在命令中指定了路由优先级，
那么当路由优先级大于静态路由默认的路由优先级时，这条静态路由就会
被动态信息替代。

参数说明 参数 说明
<A.B.C.D/M>或<A.B.C.D > <A.B.C.D> 目的网段的IP地址和子网掩码
<A.B.C.D> 下一跳的IP地址
<1-255> 路由的优先级

默认状态 不设置路由的优先级参数，默认为 1，表示建立的这条静态路由具有最高

优先级。

配置实例 添加一条去往 192.168.1.88 的静态路由，下一跳地址为 192.168.0.3：

14-8
 第 14 章 单播路由基本配置

Harbour(config)# ip route 192.168.1.88/24 192.168.0.3

删除一条去往192.168.1.88的静态路由，其下一跳地址为192.168.0.3：
Harbour(config)#no ip route 192.168.1.88/24 192.168.0.3

clear ip route static

相关命令
show ip route

14.4.7 ip route <ifname>

ip route <ifname> {<1-255>}*1

命令格式
ip route <A.B.C.D> <A.B.C.D> <ifname> {<1-255>}*1

命令功能 配置下一跳为出接口的静态路由。

命令模式 配置模式

参数说明 参数 说明
<ifname> 指定接口名

使用指导 下一跳为出接口的静态路由在接口状态为 UP 时有效，使得去往该目的网

段的所有数据包都将由这个端口发出。

14.4.8 ip route null

ip route <A.B.C.D/M> null <0-0> {<1-255>}*1

命令格式
ip route <A.B.C.D> <A.B.C.D> null <0-0> {<1-255>}*1
no ip route <A.B.C.D/M> null <0-0> {<1-255>}*1
no ip route <A.B.C.D> <A.B.C.D> null <0-0> {<1-255>}*1

命令功能 创建静态黑洞路由。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D/M> 或 <A.B.C.D> 目的网段的IP地址和子网掩码
<A.B.C.D>
<0-0> null interface的id
<1-255> distance

14-9
第 14 章 单播路由基本配置

14.4.9 show interfaces loopback

show interface loopback [<1-31>|all] {[accounting]}*1

命令格式

命令功能 查看 LoopBack Interface 的配置信息。

命令模式 配置模式

参数说明 参数 说明
[<1-31>|all] 指定标号的或所有的环回接口
[accounting] 统计通过该接口发出的各类协议包数量

配置实例 1)查看编号为 1 的 LoopBack Interface 的信息

Harbour(config)# show interface loopback 1
lo (unit number 1, index 2):
Flags: (0x8028) DOWN LOOPBACK MULTICAST ARP
Type: SOFTWARE_LOOPBACK
Metric is 0
Maximum Transfer Unit size is 32784
2)查看并统计编号为 1 的 LoopBack Interface 的详细信息
Harbour(config)# show interface loopback 1 accounting
lo (unit number 1, index 2):
Flags: (0x8028) DOWN LOOPBACK MULTICAST ARP
Type: SOFTWARE_LOOPBACK
Metric is 0
Maximum Transfer Unit size is 32784
0 octets received
0 octets sent
0 packets received
0 packets sent
0 broadcast packets received
0 broadcast packets sent
0 multicast packets received
0 multicast packets sent
0 input discards
0 input unknown protocols
0 input errors
0 output errors

14.4.10 show ip route

show ip route {<A.B.C.D/M> | <A.B.C.D> | connected | rip | ospf | static

命令格式 | summary }

命令功能 显示全部路由表内容或指定的部分路由表内容。

命令模式 配置模式

14-10
 第 14 章 单播路由基本配置

使用指导 第一条命令显示静态路由的目标 IP 地址、子网掩码和下一跳网关的 IP 地

址。
第二条命令显示目的地址为<A.B.C.D>的静态路由信息。
第三条命令显示属于<A.B.C.D/M>网段的静态路由信息。
第四条命令显示静态路由的 connected 信息或 static 信息。
第五条命令显示路由的描述信息。
命令输出信息从左至右输出信息为：
路由类型，如 C（接口路由） 、S（静态路由）、R（RIP）
、
O（OSPF）；
生效标志，*表示路由生效；
目的地址和掩码；
路由优先级和协议内部 metric，如[110/10]；
下一跳地址，或说明为直接连接；
出接口名称；
路由生存时间。

参数说明 参数 说明
<A.B.C.D/M> 显示路由表中目的IP地址为<A.B.C.D>、子
网掩码长度为M的所有路由表项
<A.B.C.D> 显示路由表中目的IP地址为<A.B.C.D>的所
有路由表项
connected 显示路由表中所有直连路由
rip 显示路由表中所有RIP路由
ospf 显示路由表中所有OSPF路由
static 显示路由表中所有静态路由
summary 只显示路由的分类统计值和路由总量信息

Harbour(config)#show ip route
配置实例 Codes： C - connected, S - static, R - RIP, O - OSPF,
>* - selected route

O 1.1.0.0/16 [110/10] is directly connected, v2, 00：03：26

C>* 1.1.0.0/16 is directly connected, v2
C>* 2.1.0.0/16 is directly connected, v3
S>* 100.0.0.0/16 [1/0] via 1.1.1.1, v2
S>* 101.0.0.0/24 [1/0] via 2.1.1.1, v3
O>* 120.0.0.0/16 [110/20] via 1.1.1.200, v2, 00：00：36

ip route
相关命令

14-11
第 14 章 单播路由基本配置

14.4.11 show ip route blackhole

show ip route blackhole

命令格式

命令功能 显示黑洞路由的配置信息。

命令模式 配置模式

config ip route blackhole timeout

相关命令

14-12
 第 15 章 配置 RIP

15 第15章 配置 RIP

15.1 概述

RIP 是 Routing Information Protocol（路由信息协议）的简称。它是所有路由协议

中最简单的协议，在实际使用中有着广泛的应用。RIP 是基于 Distance-Vector（距
离矢量，简称 D-V）算法的协议，它的协议信息封装在 UDP（User Datagram
Protocol）数据报文中。
当路由器启动以后，首先通过运行 RIP 协议的端口分别向外发送一个 RIP request
报文。在此以后，每隔 30 秒向外发送一次更新报文。对于某一条从其他路由器学
习到的路由信息，如果在 180 秒内没有收到这条路由信息的更新报文，就将这条路
由信息标志为不可达；若在其后 180 秒内仍未收到更新报文，就将该条路由从路由
表中删除。
RIP 使用跳数（Hop Count）来衡量到达信宿机的距离，称为路由权值（Routing
Metric）。在 RIP 中，路由器到与它直接相连网络的跳数为 0，通过一个路由器可达
的网络的跳数为 1，其余依此类推。为限制收敛时间，RIP 规定 metric 取值 0~15
之间的整数，大于或等于 16 的跳数被定义为无穷大，即目的网络或主机不可达。
在 IETF 组织制订的 RFC 标准中，RIP 包括 RIPv1 和 RIPv2 两个版本。RIP-2 支持
明文认证和 MD5 密文认证，并支持可变长子网掩码；而 RIP-1 就不支持上述内容。

RIP 协议的缺陷和解决方法
首先，由于 D-V 算法本身存在缺陷，导致 RIP 协议在防止生成环路、收敛时间等方
面的性能比较差。RIP 采取了一些措施来提高这些方面的性能：RIP 支持水平分割
（Split Horizon）与毒性逆转法（Poison Reverse），并可采用触发更新（Triggered
Update）。
其次，RIP 协议 30 秒钟发送一次更新报文，在带宽占用方面存在一些缺陷。在实际
应用当中可以通过设置 RIP 协议中的报文发送间隔来减小带宽的浪费。

15-1
第 15 章 配置 RIP

RIP 协议的优点
尽管 RIP 协议存在一些缺陷，但在规模较小的网络中表现很好。在简单的网络
当中，RIP 协议可以很快收敛，其性能是非常可以接受的。
RIP 协议配置简单。协议越简单，实现越简单，配置方法越简单。当然，能够支
撑的网络规模就不会很大。
RIP 协议的应用非常广泛。RIP 协议是各个设备供应商的必须支持的协议之一。
在新一代路由协议（如 OSPF，IS-IS）诞生以前，RIP 协议是为数不多的 IGP
（内部网关协议）中最重要、应用最广泛的协议之一，至今仍然有很多网络依
然在使用 RIP 协议。

RIP 协议路由存取机制
运行 RIP 协议的路由器需要管理一个路由信息数据库，网络中所有可达信宿（包括
主机地址和网络地址）在该路由数据库中都存在记录，这些记录称为路由项。路由
信息数据库中包含下列信息：
目的地址：指主机或网络的地址。
下一跳地址：指为到达目的地，本路由器要经过的下一个路由器地址。
接口：指转发报文的接口。
metric 值：指本路由器到达目的地的开销，是一个 0~16 之间的整数。
定时器：路由项最后一次被修改的时间。
路由标记：区分路由为内部路由协议的路由还是外部路由协议的路由的标记。
RIP 协议将所有自己的路由信息和从其它路由器学习到的路由信息都存放于这个路
由信息数据库中。当 RIP 协议发送 response 报文的时候，就会将所有存放于这个
数据库中的路由信息发送出去。

RIP 的启动和运行过程
下面以 RIP v1 为例，描述 RIP 的启动和运行过程(RIP v2 的过程相似，不同的是它
以组播方式进行)：
某路由器刚启动 RIP 时，以广播的形式向相邻路由器发送请求报文，相邻路由器的
RIP 收到请求报文后，响应该请求，回送包含本地路由表信息的响应报文。
路由器收到响应报文后，修改本地路由表，同时向相邻路由器发送触发更新报文，
广播路由修改信息。相邻路由器收到触发更新报文后，又向其各自的相邻路由器发
送触发更新报文。在一连串的触发更新广播后，各路由器都能得到并保持最新的路
由信息。

15-2
 第 15 章 配置 RIP

同时，RIP 每隔 30 秒向相邻路由器广播本地路由表，相邻路由器在收到报文后，对
本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更
新的路由最终能达到全局有效。同时，RIP 采用超时机制对过时的路由进行超时处
理，以保证路由的实时性和有效性。正是通过这些机制，使路由器能够了解到整个
网络路由信息。

HOS 的 RIP 特性
水平分割
触发更新
路由保持
支持 RIPv1 和 RIPv2
支持简单明文认证和 MD5 认证
可配置 RIP 协议计时器

15.2 配置RIP

在 RIP 协议的配置过程中，涉及到三个命令模式，分别是：
路由器配置模式：在 HammerOS 中，这种模式就是配置模式，即输入 enable
密码以后的模式。
RIP 协议配置模式：即输入 router rip 命令以后的模式。
端口配置模式：即输入 interface <name>以后的模式。

15.2.1 RIP协议基本配置

启动运行 RIP 协议是非常简单的，按照如下步骤就可以完成：

配置步骤
步骤1 router rip 启动RIP进程
步骤2 network 指定端口运行RIP协议

管理员应当非常清楚路由器的哪个端口要运行 RIP 协议，并为

之配置好 IP 地址。
注意

15-3
第 15 章 配置 RIP

配置案例
0为一个简单的 RIP 网络结构。具体配置如下：
简单的 RIP 网络结构

RT1 配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 指定端口运行RIP协议
RT1(config-router)#network 10.0.0.0/24

RT2 配置步骤
步骤1 启动RIP进程
RT2(config)#router rip
步骤2 指定端口运行RIP协议
RT2(config-router)#network 10.0.0.0/24
RT2(config-router)#network 11.0.0.0/24

RT3 配置步骤
步骤1 启动RIP进程
RT3(config)#router rip
步骤2 指定端口运行RIP协议
RT3(config-router)#network 11.0.0.0/24
RT3(config-router)#network 12.0.0.0/24

15.2.2 配置RIP协议版本

RIP 协议有两个版本，即 RIPv1 版本和 RIPv2 版本。可以通过命令来控制使用哪个

版本。配置版本有两种方式：在 RIP 协议配置模式下或端口模式下。
配置案例
以0中的 RT2 为例，在两种模式下配置 RIP 协议版本的步骤如下：

15-4
 第 15 章 配置 RIP

协议配置模式下的配置步骤
步骤1 启动RIP进程
RT2(config)#router rip
步骤2 配置RT2接收和发送版本1
RT2(config-router)# version 1
步骤3 查看配置信息
show ip rip

端口模式下的配置步骤
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 配置RT2的v1端口接收版本1或版本2
RT2(config-if)# ip rip receive version 1
步骤3 配置RT2的v1端口发送版本1
RT2(config-if)# ip rip send version 1
步骤4 查看配置信息
show ip rip

15.2.3 设置端口的认证类型和密码

RIP 协议中端口的认证类型有两种：明文认证和 MD5 认证。

指定认证类型的命令是端口配置模式下的 ip rip authentication mode 命令；指定认
证密码的命令是端口配置模式下的 ip rip authentication string 命令。

配置案例
以0中的 RT2 为例，在 RT2 的 v1 端口上配置明文认证和 MD5 认证：

配置明文认证
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 在RT2的v1端口上配置明文认证
RT2(config-if)#ip rip authentication mode text
步骤3 在这个端口上指定认证的密码为“test”
RT2(config-if)# ip rip authentication string test

15-5
第 15 章 配置 RIP

配置 MD5 认证
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 在RT2的v1端口上配置明文认证
RT2(config-if)# ip rip authentication mode md5
步骤3 在这个端口上指定认证的密码为“test”
RT2(config-if)# ip rip authentication string test

15.2.4 在端口上配置水平分割

通常，对于连接广播类型 IP 网络并使用距离矢量（D-V）算法路由协议的路由器，
可以使用 split horizon（水平分割）机制来减小路由环路产生的可能性。水平分割将
阻止路由信息返回起初发送的方向。这种机制可以优化多路由器环境的通信，尤其
当某个连接崩溃时。但是，在一些非广播网（如 SMDS），水平分割不利于通信，
则需要取消水平分割机制。

配置案例
以0中的 RT2 为例，在 RT2 的 v1 端口上启动水平分割：

配置步骤
步骤1 创建RT2的v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 在RT2的v1端口上启动水平分割
RT2(config-if)# ip rip split-horizon

15.2.5 生成默认路由

如果在路由器上配置了一些静态路由，但是不希望这些静态路由被 RIP 协议传播到

其它路由器上，而同时又要使其它的路由器可以访问这些路由指向的网络，就可以
采用 RIP 协议中生成默认路由的方法来完成。

配置案例
以0中的 RT1 为例，
在 RT1 上生成默认路由，
使 RT1 向其它路由器发送包含 0.0.0.0/0

15-6
 第 15 章 配置 RIP

默认路由的 RIP 报文。

配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 在RT1上生成默认路由
RT1(config-router)# default-information originate

15.2.6 配置协议的Administrative
Distance

一个协议的 Administrative Distance 指的是一个路由信息源的可信度等级。

Administrative Distance 是一个 0 到 255 的整数，通常情况下，值越高可信度越低。
Distance 的值为 255 意味着路由信息源根本不可信，应该被忽略。可以在协议配置
模式下配置 RIP 的 Administrative Distance 值。

配置案例
以0中的 RT1 为例，配置 RIP 的 Administrative Distance 值。

配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 配置RIP的Administrative Distance值
RT1(config-router)# distance 20

15.2.7 配置协议时钟

RIP 协议使用四个时钟来确定路由更新时间、路由超时时间、路由保持时间和路由
清空时间。这四个时间分别由路由更新计时器、路由超时计时器、路由保持计时器、
路由清空计时器来确定。
路由更新计时器记录周期性更新的时间间隔，通常为 30 秒，每当该计时器重置时
增加小的随机秒数以防止冲突。
每个路由表项都有相关的路由超时计时器，在本系统中，其缺省时间间隔为 180 秒，

15-7
第 15 章 配置 RIP

当路由超时计时器过期时，该路径就标记为失效的，但仍保存在路由表中，直到路
由清空计时器过期才被清掉，其中清空时间间隔为 180 秒。
当路由超时计时器过期时，路由保持计时器也同时被启动，路由保持计时器的缺省
值是 120 秒，在这段时间内，路由器不会接收对这条路由的更新信息。
可以适当改变这些时钟来调整路由协议的执行，使之与实际的网络更适应。
在协议配置模式下，可以利用命令 timers basic 调整路由的更新时钟、超时时钟、
保持时钟和清空时钟值。

配置案例
设置 RT1 的更新时钟、超时时钟、保持时钟、清空时钟时间间隔分别为 40、200、
60 和 130。

配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 设置RT1的更新时钟、超时时钟、保持时钟、清空时钟时间间隔
RT1(config-router)# timers basic 40 200 60 130

15.2.8 重分布路由（redistribute）

为了能使多种路由协议同时运作，可以将一种路由协议的信息引入到另一种路由协
议中，这个过程称为重分布路由。例如，可以让 RIP 协议重分布静态路由。将路由
信息从一种路由协议引入另一种路由协议的操作适用于所有基于 IP 的路由协议。
在协议配置模式下，
使用命令 redistribute 可以将其它路由协议的路由信息引入 RIP。

15.2.9 配置缺省metric

如果需要 RIP 协议发送路由信息，可以指定路由信息的 metric 值，这个值在 RIP

协议中代表跳数。
缺省 metric 与 redistribute 命令相关，因为不同的路由协议之间的 metric 意义不完
全一样，所以利用这个命令可以为其他路由协议重分布来的路由指定一个 metric。
redistribute 命令也可以指定 metric 值，当这两个命令同时配置时，优先选择

15-8
 第 15 章 配置 RIP

redistribute 命令指定的 metric 值。

配置案例
配置 RT1 上的 RIP 路由的缺省 metric 值。

配置步骤
步骤1 启动RIP进程
RT1(config)#router rip
步骤2 配置RT1上的RIP路由的缺省metric值
RT1(config-router)# default-metric 5

15.3 常用调试功能

15.3.1 debug rip rm

打开 RIP 与路由管理相关的信息。

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用 no debug rip rm 命令禁用此功能。

15.3.2 debug rip [events|packet]

打开 RIP 协议处理中的事件信息或报文的接收和发送信息。

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

15-9
第 15 章 配置 RIP

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用 no debug rip [events|packet]命令禁用此功
能。

15.4 常见故障分析

15.4.1 RIP协议无法正常收发报文

现象 网络不通，RIP协议无法正常收发报文
分析与 1、 运行RIP协议的相连端口没有配置相同的认证类型或密码，通过show
解决 running-config命令查看两端是否一致。
2、 rip没有在应有的端口上启动， 通过show running-config命令查看RIP的配
置。
3、 相连两端的RIP协议版本不一致，通过show running-config命令查看两端
是否一致。
4、 相连两端的IP地址相同，通过show running-config命令查看两端是否一致。
5、 单播线路上对端IP地址与本机配置不一致，通过show running-config命令
查看两端是否一致。
6、 对方（或本机）时钟设置不当，造成路由表不稳定，通过show running-config
命令查看两端是否一致。
7、 水平分割设置不当，造成环路或正常通信受到影响，通过show
running-config命令查看两端是否一致。
8、 物理链路没有正常连通，通过ping命令查看。

15.5 命令参考

15.5.1 debug rip [events|packet]

debug rip [events| packet {recv|send {detail}}]

命令格式
no debug rip [events| packet]

命令功能 打开 RIP 协议处理中的事件信息或报文的接收和发送信息。

关闭 RIP 协议处理中的事件信息或报文的接收和发送信息。

命令模式 配置模式

参数说明 参数 说明

15-10
 第 15 章 配置 RIP

events 显示RIP事件，包括收发包、时钟以及接口变化等
packet 显示收发的RIP数据包
recv 显示接收的RIP数据包
send 显示发送的RIP数据包
detail 显示接收或发送RIP数据包内容的详细信息

默认状态 调试信息关闭。

使用指导 只有高级用户才可以使用此命令，由于此命令会在命令行上打印大量信息，
占用很多 CPU 资源。 因此强烈建议用户，当调试结束时，一定要用 no debug
rip rm 命令禁用此功能。

配置实例 在终端显示交换机收发的 RIP 数据包：

Harbour(config)#debug rip packet
Harbour(config)#monitor on

monitor
相关命令
show debug rip

15.5.2 debug rip rm

debug rip rm
命令格式
no debug rip rm

命令功能 显示路由管理变化信息。
关闭显示路由管理变化信息。

命令模式 配置模式

默认状态 调试信息关闭。

使用指导 只有高级用户才可以使用此命令，由于此命令会在命令行上打印大量信息，
占用很多 CPU 资源。 因此强烈建议用户，当调试结束时，一定要用 no debug
rip rm 命令禁用此功能。

配置实例 在终端显示路由管理变化信息：
Harbour(config)#debug rip rm
Harbour(config)#monitor on

monitor
相关命令
show debug rip

15-11
第 15 章 配置 RIP

15.5.3 default-metric

default-metric <number>
命令格式
no default-metric
no default-metric <number>

命令功能 为 RIP 设置从其它路由协议中导入路由的默认的 metric 值。

其对应的 no 命令返回默认状态。

命令模式 协议配置模式

参数说明 参数 说明
<number> 设置为默认的metric值，取值范围为1至16

默认状态 默认状态下 metric 值为 1。

使用指导 命令 default-metric 和 router 配置命令 redistribute 共同作用，使当前路由

协议对所有的引入路由使用这个 metric 值。默认 metric 可以解决由于引入
矛盾 metric 值的路由而产生的问题。此命令不能改变直连路由的 metric 值
（直连路由 metric 值为 0）。

配置实例 将静态路由引入 RIP 并设定 metric 值为 10

Harbour(config)#router rip
Harbour(config-router)#default-metric 10
Harbour(config-router)#redistribute static

redistribute
相关命令

15.5.4 distribute-list

distribute-list <name> [in|out] <IFNAME>

命令格式
distribute-list <name> [in|out]
no distribute-list <name> [in|out] <IFNAME>
no distribute-list <name> [in|out]

命令功能 用 access list 对过滤接口发送或接受的 RIP。

命令模式 路由协议配置模式

参数说明 参数 说明
<name> 用来过滤的access list的名字

15-12
 第 15 章 配置 RIP

[in|out] 将access-list应用于输入/输出数据包
<IFNAME> 引入access-list的接口名称

配置实例 将 access-list test1 引入到 V1 上：

Harbour(config)#router rip
Harbour(config-router)#distribute-list test1 in v1
Harbour(config-router)#exit

15.5.5 ip rip authentication mode

ip rip authentication mode {text | md5}

命令格式
no ip rip authentication mode

命令功能 为 RIPv2 报文指定认证类型。

对应的 no 命令恢复认证类型为默认值：简单明文认证。

命令模式 接口配置模式

参数说明 参数 说明
text 采用简单明文认证
md5 采用md5认证

默认状态 对 RIPv2 报文采用简单明文认证。

使用指导 RIPv1 不支持认证。

配置实例 配置接口使用 md5 认证：

Harbour(config-if)#ip rip authentication mode md5
配置接口使用简单明文认证：
Harbour(config-if)#ip rip authentication mode text

相关命令

15.5.6 ip rip receive version

ip rip receive version [1][2]

命令格式
ip rip receive version 1 2
no ip rip receive version

命令功能 指定接口接收 RIPv1 或 RIPv2 报文。

15-13
第 15 章 配置 RIP

对应的 no 命令恢复命令 version 的设置。

命令模式 接口配置模式

参数说明 参数 说明
[1] 接口只接收RIPv1报文
[2] 接口只接收RIPv2报文
1 2 接口接收RIPv1和RIPv2报文

默认状态 由命令 version 指定。

使用指导 此命令将覆盖协议配置模式下命令 version 指定的行为。

配置实例 配置接口接收两个版本的 RIP 报文：

Harbour(config-if)#ip rip receive version 1 2
配置接口只接收 RIPv1 报文：
Harbour(config-if)#ip rip receive version 1

ip rip send version

相关命令
version

15.5.7 ip rip send version

ip rip send version [1] [2]

命令格式
no ip rip send version

命令功能 指定接口发送 RIPv1 或 RIPv2 报文。

对应的 no 命令恢复命令 version 的设置。

命令模式 接口配置模式

参数说明 参数 说明
[1] 接口发送RIPv1报文
[2] 接口发送RIPv2报文

默认状态 由命令 version 指定。

使用指导 此命令将覆盖 router 配置模式下命令 version 指定的行为。

配置实例 配置接口只发送 RIPv1 报文：

15-14
 第 15 章 配置 RIP

Harbour(config-if)#ip rip send version 1

ip rip receive version

相关命令
version

15.5.8 ip rip split-horizon

ip rip split-horizon [simple|poisoned]

命令格式
no ip rip split-horizon

命令功能 启动水平分割机制，防止路由环路。
关闭水平分割机制。

命令模式 接口配置模式

参数说明 参数 说明
simple 一般的水平分割
poisoned 具有毒性逆转的水平分割

默认状态 RIP 已启动水平分割机制。

使用指导 水平分割机制阻止路由信息返回起初发送的方向。

配置实例 对接口 v2 设置水平分割机制：

RT2(config)# create vlan v2
RT2(config)# interface v2
RT2(config-if)# ip split-horizon simple
RT2(config-if)# exit
对接口 v3 取消水平分割机制：
RT2(config)# create vlan v3
RT2(config)# interface v3
RT2(config-if)# no ip split-horizon
RT2(config-if)# exit

neighbor
相关命令

15.5.9 neighbor

neighbor <A.B.C.D>
命令格式
no neighbor <A.B.C.D>

15-15
第 15 章 配置 RIP

命令功能 指定与一个相邻路由器以点对点模式交换路由信息。
取消与一个相邻路由器以点对点模式交换路由信息。

命令模式 RIP 配置模式

参数说明 参数 说明
<A.B.C.D> Neighbor的接口地址

使用指导 此命令允许进行点对点交换路由信息。在某些情况下（比如点到多点），并
不是所有的路由器都能理解广播。当相邻路由器不能处理广播路由，则有
必要显式指定一个邻居。neighbor 命令允许网络管理员指定某一路由器作
为 RIP 邻居。在广播网下，neighbor 的主要作用是减少路由交换。该命令
一般和 passive-interface 联合使用。

Harbour(config-router-rip)# network 1.0.0.0/8

配置实例
Harbour(config-router-rip)# passive-interface ethernet 0/0
Harbour(config-router-rip)#neighbor 1.1.1.2

passive-interface
相关命令

15.5.10 network

network <A.B.C.D/M>
命令格式
no network <A.B.C.D/M>

命令功能 为 RIP 协议指定实施 RIP 信息交流的网段。

命令模式 协议配置模式

参数说明 参数 说明
<A.B.C.D/M> 与本交换机直连、要进行RIP通信的网络的IP地
址及子网掩码

默认状态 未指定任何进行 RIP 通信的网段。

配置实例 配置本交换机与子网 11.0.0.0/24 内的路由器进行 RIP 通信：

RT2(config)# router rip
RT2(config)# network 11.0.0.0/24

router rip
相关命令

15-16
 第 15 章 配置 RIP

15.5.11 nexthop compatible-cisco

nexthop compatible-cisco
命令格式
no nexthop compatible-cisco

命令功能 指定收发报文中下一跳地址和 cisco 兼容。

指定收发报文中下一跳地址和 cisco 不兼容。

命令模式 RIP 配置模式

默认状态 收发报文中下一跳地址和 cisco 兼容。

使用指导 一般情况下，默认对 RIPv2 中更新报文的发送是与 CISCO 的实现相兼容

的，即发送更新报文时的下一跳信息为全 0。如果设置为与 CISCO 不兼容，
则发送更新报文时路由下一跳信息填入 RIP 路由表中真正的下一跳信息。
建议采用默认配置，即与 CISCO 相兼容的设置。

15.5.12 offset-list

offset-list <name> [in| out] <0-16> {<ifname>}

命令格式
no offset-list <name> [in| out] <0-16> {<ifname>}

命令功能 在接口发送或接收 RIP 报文时给路由增加路由权值(metric)。

对应的 no 命令取消上述配置。

命令模式 协议配置模式

参数说明 参数 说明
<name> access-list名
[in|out] access-list应用于输入/输出RIP数据包
<0-16> 对RIP路由权值(metric)的增加值
<ifname> 限定只修改从指定接口收发的路由表项的
metric

默认状态 未启动。

配置实例 将偏移量 10 运用于通过接口 v1 学到的由 access-list 指定的路由的 metric

值：
Harbour(config)#access-list route a1 permit 11.0.0.0/8
Harbour(config)#router rip
Harbour(config-router)#offset-list a1 in 10 v1

15-17
第 15 章 配置 RIP

access-list
相关命令

15.5.13 passive-interface

passive-interface <ifname>
命令格式
no passive-interface <ifname>

命令功能 禁止在某些端口上建立 RIP 的连接。

对应的 no 命令取消上述配置。

命令模式 RIP 配置模式

参数说明 参数 说明
<ifname> 接口名

使用指导 通过该命令可以设置禁止某个端口进行 rip 报文的接收。

Harbour(config-router)# passive-interface vlan1

配置实例

15.5.14 redistribute

redistribute redistribute [connected|static|ospf]

命令格式
redistribute [connected|static|ospf] metric <1-16>
no redistribute [connected|static|ospf]

命令功能 重分布路由。

命令模式 路由协议配置模式

使用指导 命令后面不跟 metric，表示使用默认的 metric 值引入其它路由协议的路由

信息。命令后面跟 metric，表示指定的 metric 值引入其它路由协议的路由
信息。路由信息的 metric 值在 RIP 协议中代表跳数。缺省 metric 与
redistribute 命令是相关的。因为不同的路由协议之间的 metric 意义不完全
一样，所以利用这个命令可以为其他路由协议重分布来的路由指定一个
metric。redistribute 命令也可以指定 metric 值，当这两个命令同时配置时，
应优先选择 redistribute 命令指定的 metric 值。

default-metric
相关命令

15-18
 第 15 章 配置 RIP

15.5.15 router rip

router rip
命令格式
no router rip

命令功能 启动 RIP 协议并进入协议配置模式；若 RIP 协议已经启动，则直接进入协

议配置模式。其对应的 no 命令关闭 RIP 进程。

命令模式 配置模式

默认状态 未启动 RIP 进程。

配置实例 启动 RIP 进程并进入协议配置模式：

Harbour(config)#router rip
Harbour(config-router)#

network
相关命令

15.5.16 show debug rip

show debug rip

命令格式

命令功能 显示已经打开的 RIP 调试信息开关。

命令模式 配置模式

Harbour(config)# show debug rip

配置实例

debug rip [events|packet]

相关命令
debug rip rm

15.5.17 show ip rip database

show ip rip database

命令格式

命令功能 查看 RIP 协议路由信息数据库的内容。

命令模式 配置模式

15-19
第 15 章 配置 RIP

15.5.18 timers basic

timers basic <update> <timeout> <holddown> <garbage>

命令格式
no timers basic

命令功能 调整 RIP 时钟。其对应的 no 命令恢复 RIP 时钟到默认状态。

命令模式 路由协议配置模式

参数说明 参数 说明 缺省配置
<update> 路由更新时钟。路由器根据此时钟，定期发送一 30秒
个包含整个路由表的主动响应信息给所有的相邻
路由器。该时钟有效值为0至16777215秒。
<timeout> 超时时钟。时钟期满，路由项标志为无效路由， 180秒
但仍保留在路由表中一段时间，目的是向相邻路
由器告知此路由已无效。该时钟有效值为1至
16777215秒。
<holddown> 若某条路由是因为接收到来自源接口的“路由不 120秒
可达”信息，而被宣布为Metric=16。则对此条路
由同时启动Holddown Timer和Garbage Timer。
在启动两个定时器的同时，按“触发更新”向外
广播此路由的Metric=16，以使“邻居”知道此路
由不可达。在Holddown Timer超时之前，RIP不
接受任何关于此条路由的路由更新，包括来自源
接口的路由更新。该时钟有效值为1至16777215
秒。
<garbage> 无效路由保持时钟。此时钟期满，则该项路由将 180秒
彻底从路由表中删除。该时钟有效值为1至
16777215秒。

配置实例 配置四个时钟分别为 31 秒、182 秒、100 秒和 121 秒：

Harbour(config)#router rip
Harbour(config-router)#timers basic 31 182 100 121

15.5.19 version

version [1|2]
命令格式
no version

命令功能 指定 RIP 版本。其对应的 no 命令配置模式恢复 RIP 版本的默认值。

命令模式 路由协议配置模式

15-20
 第 15 章 配置 RIP

参数说明 参数 说明
[1|2] 指定RIPv1 / RIPv2

默认状态 send：v1；recv：v1，v2。

使用指导 通过命令 ip rip receive version 和命令 ip rip send version，可以在接口指

定收发的 RIP 版本。

配置实例 指定路由器发送和接收 RIPv2 数据包：

Harbour(config)#router rip
Harbour(config-router)#version 2

ip rip receive version

相关命令
ip rip send version
show ip rip

15-21
 第 16 章 配置 OSPF

16 第16章 配置 OSPF

16.1 概述

OSPF（Open Shortest Path First，开放最短路径优先协议）是一类内部网关协议

（Interior Gateway Protocol），它可以计算和设置一个自治系统中各个路由器的路
由表。
OSPF 是 IETF 组织开发的一个基于链路状态的路由协议。在 IP 网络上，OSPF 通
过收集和传递链路状态（Link State）来动态地发现路由。每个支持 OSPF 协议的
路由器都维护着一份描述整个自治系统网络拓扑结构的数据库——链路状态数据库
（LSDB）。该数据库是收集所有路由器的链路状态广播（LSA）而得到的。根据链
路状态数据库，各路由器会构建一棵以自己为根的最短路径树（SPF Tree），这棵
树给出了到自治系统中各节点的路由。
OSPF 协议有如下优点：
适用范围广。从几台到上千台路由器的网络都适合运行 OSPF 协议。
没有路由自环。由于链路状态算法自身的优势，从根本上避免了路由自环的产
生。
网络带宽占用小。OSPF 通过定义“DR”的概念，以及将自治系统划分为不同
的区域等措施极大的减少了网络带宽的占用。另外 LSA Update 的时间间隔较长
也是很重要的一个原因。
同步速度快。当网络的拓扑结构发生变化，OSPF 的 FLOOD 方法可以保证将这
一变化迅速可靠的传递到整个自治系统。
HAMMER OS 实现了在 RFC2328 中定义的 OSPF Version 2 的各种特性，包括：
Stub area — 利用 Stub area 来减少协议流量。
认证 — 在 OSPF 包交换的过程中，支持简单明文认证和 MD5 认证。
配置接口参数 — 包括认证的密码、邻居的超时时间、HELLO 包的发送时间间
隔、重传间隔、接口的输出时延、端口的花费、DR 选举的优先级等。
virtual link — 支持 virtual link。
路由聚合 — 支持路由聚合（area range）。
与其它路由模块之间共享路由信息 — 用 redistribute 命令可以把路由信息从

16-1
第 16 章 配置 OSPF

其它模块引入，也可以把路由信息提供给其它动态路由协议，并且有精确的过
滤和调整能力。

16.2 配置OSPF

使用 OSPF 的基本配置，可以适应大多数的网络需求，只要配置 network 命令即可。

这种配置没有认证功能，接口的各参数都使用缺省值。配置步骤参见“基本 OSPF
配置”一节。
此外，还可以配置协议的一些可选的特性。需要特别注意的是，这些特性常常要求
路由器之间的配置是协调一致的。

16.2.1 基本OSPF配置

启动一个 OSPF 进程时，包括以下三个基本步骤：

决定路由器的每一个接口将要连接的区域；
使用 router ospf 命令启动 OSPF 进程；
使用 network area 命令指定要运行 OSPF 的接口及其所属的区域。

配置案例

图 16-1 所示为一个简单的 OSPF 网络，其中的每个路由器都可以灵活地使用

network area 命令来进行配置。

图16-1 简单的 OSPF 网络

16-2
 第 16 章 配置 OSPF

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

RT2 配置步骤

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1

RT3 配置步骤

步骤1 启动OSPF进程
RT3(config)# router ospf

步骤2 配置运行OSPF的网段
RT3(config-router)# network 11.0.0.0/24 area 1

注意网络配置中的 network area 命令，其中 network 部分为 IP 地址及掩码长度，

它定义了一个网段。当 OSPF 运行时，地址在这个网段范围内的接口都将运行
OSPF，接口所属的区域为 area 部分指定的区域。虽然 RT3 在 12.0.0.3/24 接口上
没有运行 OSPF，但由于它拥有 RT3 上所有接口中最大的 IP 地址，因此 RT3 的
Router ID 为 12.0.0.3。

关于 router ID

因为在 OSPF 的很多配置中，router ID 都十分重要，在 router ospf 模式下，使用

命令 router-id 可以手工指定 router ID。

现在行业内部并没有统一的 router ID 选举方法，为了网络配置

的清晰和高效，强烈建议手工指定 router ID。
注意

如果没有指定 router ID，按照业界惯例，系统自动从所有配置的 interface 中，选取

16-3
第 16 章 配置 OSPF

最大的 IP 地址来作为本机的 router ID。而且一旦选定，即使端口地址改变或端口被

删除也不会改变 router ID。
可以用 show ip ospf 命令查看 router ID。
修改 router ID 后，如果已经配置了区域（area），则必须保存配置，重新启动交换
机后，设置才能生效。

16.2.2 设置接口参数

OSPF 允许用户按需改变与某一具体接口相关的参数。但是一些接口参数的设置要
求在一个网络中的所有路由器必须一致，否则将无法正确建立邻接关系。这些参数
是通过 ip ospf hello-interval、ip ospf dead-interval 和 ip ospf authentication-key 等
命令来设置的。因此，如果确信要配置这些参数，则一个网络中的所有路由器应该
有相同的配置。
命令 ip ospf hello-interval 用来设置接口上 OSPF 的 hello 间隔。一个网段中的所有
OSPF 接口上，hello 间隔必须相同，才能建立邻居关系。命令 ip ospf authentication
和 ip ospf authentication-key 用来设置接口上的认证方式及相应的认证密码。一个
网段中的所有 OSPF 接口必须具有相同的认证方式和密码，才能建立邻居关系。

配置案例

图 16-1 所示的网络中，RT1 和 RT2 在相应接口 v1 的配置如下：

配置 RT1

步骤1 创建v1端口
RT1(config)# create vlan v1
RT1(config)# interface v1
步骤2 设置接口v1上OSPF的hello间隔
RT1(config-if)# ip ospf hello-interval 15

步骤3 设置接口上的认证方式
RT1(config-if)# ip ospf authentication

步骤4 设置认证密码为“test”
RT1(config-if)# ip ospf authentication key test

16-4
 第 16 章 配置 OSPF

配置 RT2

步骤1 创建v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤2 设置接口v1上OSPF的hello间隔
RT2(config-if)# ip ospf hello-interval 15

步骤3 设置接口上的认证方式
RT2(config-if)# ip ospf authentication

步骤4 设置认证密码为“test”
RT2(config-if)# ip ospf authentication key test

16.2.3 配置区域参数

OSPF 允许配置几个区域参数，包括认证、定义 STUB 区域、为 ABR 产生的缺省

路由设置 metric。
认证提供基于密码的保护，防止与未经授权的路由器交换路由信息。在配置区域认
证时，必须对区域的所有接口单独配置认证密码。

当接口模式下配置的认证方式和接口所在区域的认证方式不一
致时，则优先考虑接口配置的认证方式。
注意

STUB 区域是不接受外部路由信息的区域，由 ABR 为 AS 外部路由自动产生一条缺

省路由注入 STUB 区域。为了进一步减少发送到 STUB 区域的 LSA 的数量，可以
在 ABR 上配置 no-summary 选项来阻止汇总 LSA（类型 3 LSA）进入到 STUB 区
域。
1. Area 认证配置案例

图 16-1 所示的网络中，为 area 0 配置 MD5 认证方式。在路由器 RT1 和 RT2 上进

行相同的配置后，就可以在 RT1 和 RT2 之间建立邻居关系了。

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段

16-5
第 16 章 配置 OSPF

RT1(config-router)# network 10.0.0.0/24 area 0

步骤3 设置区域0为MD5认证方式
RT1(config-router)# area 0 authentication message-digest

步骤4 退出OSPF模式
RT1(config-router)# exit

步骤5 创建v1端口
RT1(config)# create vlan v1
RT1(config)# interface v1
步骤6 设置接口上的MD5认证密码为“test”
RT1(config-if)# ip ospf message-digest-key 1 md5 test

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 设置区域0为MD5认证方式
RT2(config-router)# area 0 authentication message-digest

步骤4 退出OSPF模式
RT2(config-router)# exit

步骤5 创建v1端口
RT2(config)# create vlan v1
RT2(config)# interface v1
步骤6 设置接口上的MD5认证密码为“test”
RT2(config-if)# ip ospf message-digest-key 1 md5 test

2. STUB 区域配置案例

图 16-1 所示的网络中，配置区域 1 为 STUB 区域。

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 配置区域1为STUB区域

16-6
 第 16 章 配置 OSPF

RT2(config-router)# area 1 stub

配置 RT3

步骤1 启动OSPF进程
RT3(config)# router ospf

步骤2 配置运行OSPF的网段
RT3(config-router)# network 11.0.0.0/24 area 1

步骤3 配置区域1为STUB区域
RT3(config-router)# area 1 stub

步骤4 退出OSPF模式
RT3(config-router)# exit

步骤5 在路由器RT2使用命令area stub配置区域1为STUB区域。由于RT2为ABR，因

此RT2广播一条缺省的3类LSA进入区域1。用show ip ospf database命令可以
看到这条LSA：
RT3(config)#show ip ospf database

OSPF Router with ID (12.0.0.3)

5 lsas, 0 external routes.

Router Link States (Area 0.0.0.1)

Link ID ADV Router Age Seq# CkSum Link count
11.0.0.2 11.0.0.2 18 0x80000004 0x6fa4 1
12.0.0.3 12.0.0.3 15 0x80000003 0x56ba 1

Net Link States (Area 0.0.0.1)

Link ID ADV Router Age Seq# CkSum

11.0.0.2 11.0.0.2 19 0x80000001 0x9c89

Summary Link States (Area 0.0.0.1)

Link ID ADV Router Age Seq# CkSum Route
0.0.0.0 11.0.0.2 802 0x80000001 0x242d 0.0.0.0/0
10.0.0.0 11.0.0.2 792 0x80000001 0xfb42 10.0.0.0/24
步骤6 用show ip route命令可以看到这条缺省路由
RT3(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O>* 0.0.0.0/0 [110/11] via 11.0.0.2, v2, 00:05:41

O>* 10.0.0.0/24 [110/20] via 11.0.0.2, v2, 00:05:41
O 11.0.0.0/24 [110/10] is directly connected, v2, 00:05:51
C>* 11.0.0.0/24 is directly connected, v2

默认情况下，ABR 广播一条 cost 值为 1 的缺省路由，这条缺省路由的 cost 值能够

通过命令 area default-cost 改变。例如，在 RT2 上的配置改变如下：

16-7
第 16 章 配置 OSPF

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 配置区域1为STUB区域
RT2(config-router-ospf)# area 1 stub

步骤4 配置缺省路由的cost值
RT2(config-router)# area 1 default-cost 25

步骤5 在RT3上用show ip route可以看到这条缺省路由的cost值为35

RT3(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O>* 0.0.0.0/0 [110/35] via 11.0.0.2, v2, 00:00:15

O>* 10.0.0.0/24 [110/20] via 11.0.0.2, v2, 00:16:59
O 11.0.0.0/24 [110/10] is directly connected, v2, 00:17:09
C>* 11.0.0.0/24 is directly connected, v2

另外，也可以使用 area stub no-summary 命令来禁止 ABR 向 STUB 区域广播除了

缺省路由以外的其他 summary LSA，在 RT2 上的配置为：

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 禁止ABR向STUB区域广播除了缺省路由以外的其他summary LSA
RT2(config-router)# area 1 stub no-summary

步骤4 在RT3上可以看出在区域1的database中的summary LSA消失了（除了表示缺

省路由的LSA）
RT3(config)#show ip ospf database

OSPF Router with ID (12.0.0.3)

4 lsas, 0 external routes.

Router Link States (Area 0.0.0.1)

Link ID ADV Router Age Seq# CkSum Link count

11.0.0.2 11.0.0.2 300 0x80000005 0x6da5 1
12.0.0.3 12.0.0.3 249 0x80000004 0x54bb 1

16-8
 第 16 章 配置 OSPF

Net Link States (Area 0.0.0.1)

Link ID ADV Router Age Seq# CkSum

11.0.0.2 11.0.0.2 253 0x80000002 0x9a8a

Summary Link States (Area 0.0.0.1)

Link ID ADV Router Age Seq# CkSum Route

0.0.0.0 11.0.0.2 319 0x80000003 0x202f 0.0.0.0/0

16.2.4 配置路由聚合

路由聚合是对被广播的路由进行合并，这个特征使 ABR 仅广播聚合路由到其他区

域，如果配置得当，可以减少很多 OSPF 网络流量。在 OSPF 中，ABR 将广播一
个区域的网络信息到另一个区域，如果网络地址是连续的，可以配置一个指定的
area range 来包括所有的这些单个网络。

配置案例

图16-2 配置路由聚合

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

16-9
第 16 章 配置 OSPF

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤3 对属于11.0.0.0/16的网段进行了聚合
RT2(config-router)# area 1 range 11.0.0.0/16

步骤4 从RT1中可以看到聚合后的路由
RT1(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O 10.0.0.0/24 [110/10] is directly connected, v1, 00:06:01

C>* 10.0.0.0/24 is directly connected, v1
O>* 11.0.0.0/16 [110/20] via 10.0.0.2, v1, 00:05:51

16.2.5 配置虚拟链路virtual link

在 OSPF 中，规定所有的区域都必须被连接到骨干(backbone)区域。如果骨干区域
的连续性被中断，可以通过创建一个虚拟链路(virtual link)来保持这种连续性。虚拟
链路的两端是 ABR，在两端的路由器上都必须进行相应的配置。同时应注意到在
STUB 区域内不能配置虚拟链路。

配置案例

图 16-3 是一个设计比较差的网络，如果在路由器 RT1 和 RT2 之间的 Area 0 内的

链路断开，可能导致网络上的其他路由器的通信受阻。因此，在区域 1 内建立一个
虚拟链路来改善网络的脆弱性。两台路由器的配置分别如下：

图16-3 配置虚拟链路

16-10
 第 16 章 配置 OSPF

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 指定router id
RT1(config-router)# router-id 1.1.1.1

步骤3 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0
RT1(config-router)# network 11.0.0.0/24 area 1
步骤4 在区域1内建立一个虚拟链路
RT1(config-router)# area 1 virtual-link 2.2.2.2

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 指定router id
RT2(config-router)# router-id 2.2.2.2

步骤3 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 1
步骤4 在区域1内建立一个虚拟链路
RT2(config-router)# area 1 virtual-link 1.1.1.1

步骤5 查看虚拟链路的接口信息
RT2(config-router)# show ip ospf interface

步骤6 查看虚拟链路的邻居信息
RT2(config-router)# show ip ospf neighbor

16.2.6 配置缺省路由

可以配置 ASBR，使它产生一条缺省路由。需要注意的是，当重分布路由进入 OSPF

域时，路由器就自动地成为了 ASBR，然而，ASBR 在默认情况下并不会产生一条
缺省路由进入 OSPF 域。

配置案例

以图 16-1 的组网图为例，其中 RT1 和 RT2 分别作如下配置：

16-11
第 16 章 配置 OSPF

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

步骤3 在区域1内建立一个虚拟链路
RT1(config-router)# default-information originate always

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf

步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0

步骤3 在RT1上default-information originate always命令产生一个缺省的外部LSA，

从RT2可以看到已经产生了这条缺省路由
RT2(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O>* 0.0.0.0/0 [110/1] via 10.0.0.2, v1, 00:00:03

O 10.0.0.0/24 [110/10] is directly connected, v1, 00:00:55
C>* 10.0.0.0/24 is directly connected, v1

16.2.7 配置OSPF的管理距离

管理距离指的是路由信息源的可信度等级。管理距离是一个 0 到 255 的整数，通常

情况下，值越高可信度越低。管理距离的值为 255 意味着路由信息源根本不可信，
应该被忽略。OSPF 使用了三个不同的管理距离：区域内、区域间和自治系统外部，
它们的默认值都是 110。

配置案例

以图 16-4 的组网图为例，对 RT1 和 RT2 分别作如下配置：

16-12
 第 16 章 配置 OSPF

图16-4 配置 OSPF 的管理距离

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

步骤3 配置OSPF的管理距离
RT1(config-router)# distance ospf intra-area 60 inter-area 90
external 100

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf
RT2(config-router)# redistribute connected
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0
RT2(config-router)# network 11.0.0.0/24 area 0
RT2(config-router)# network 12.0.0.0/24 area 1
步骤3 在RT1上可以看到三种类型OSPF路由的管理值的变化
RT1(config)#sh ip rou
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O 10.0.0.0/24 [60/10] is directly connected, v1, 00:07:55

C>* 10.0.0.0/24 is directly connected, v1
O>* 11.0.0.0/24 [60/20] via 10.0.0.2, v1, 00:07:55
O>* 12.0.0.0/24 [90/20] via 10.0.0.2, v1, 00:07:55
O>* 13.0.0.0/24 [100/20] via 10.0.0.2, v1, 00:07:01

16-13
第 16 章 配置 OSPF

16.2.8 配置路由计算的时间间隔

可以配置从 OSPF 收到一个拓扑变化到开始 SPF 计算之间的延时间隔，也可以配

置两次连续的 SPF 计算之间的保持间隔。
命令 timers spf 主要用于在网络拓扑振荡较频繁的情况下，减少 SPF 计算对路由器
的影响，值得注意的是，这样做可能导致路由不能得到及时的更新。

配置案例

以图 16-1 的组网图为例，对 RT1 作如下配置：

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

步骤3 配置路由计算的时间间隔
RT1(config-router)# timers spf 8 16

16.2.9 重分布和route map的配置

当需要 OSPF 导入其他路由信息源的路由信息时，则需要完成重分布操作。这里的

其它协议可以是静态路由、直连路由和从 RIP 等协议学来的路由。重分布也许可能
产生过多的或不需要的路由，这时就需要使用 route map 来进行过滤和控制。

配置案例

以图 16-5 的组网图为例，对 RT1 和 RT2 分别作如下配置：

16-14
 第 16 章 配置 OSPF

图16-5 配置重分布和 route map

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

配置 RT2

步骤1 access-list route aclist deny 11.0.0.0/24

access-list route aclist permit any
route-map conmap permit 10
match ip address aclist
set metric 36
exit
步骤2 启动OSPF进程
RT2(config)# router ospf
RT1(config-router)# redistribute connected route-map conmap
步骤3 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

步骤4 在上述的配置中，对被重分布的直连路由应用route map conmap进行策略控

制，从RT1的路由表可以看到没有到达11.0.0.0/24网段的路由，说明此条路由
已经被route map过滤掉了，没有被过滤路由的花费被设置为36
RT1(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O 10.0.0.0/24 [110/10] is directly connected, v1, 00:13:57

C>* 10.0.0.0/24 is directly connected, v1
O>* 12.0.0.0/24 [110/36] via 10.0.0.2, v1, 00:12:54
O>* 13.0.0.0/24 [110/36] via 10.0.0.2, v1, 00:12:23

16-15
第 16 章 配置 OSPF

16.2.10 配置缺省metric

缺省 metric 与 redistribute 命令是相关的。因为不同的路由协议之间的 metric 意义

不完全一样，所以利用这个命令可以为其他路由协议重分布来的路由指定一个
metric。Redistribute 命令也可以指定 metric 值，当这两个命令同时配置时，应优先
选择 redistribute 命令指定的 metric 值。

配置案例

以图 16-5 的组网图为例，对 RT1 和 RT2 分别作如下配置：

配置 RT1

步骤1 启动OSPF进程
RT1(config)# router ospf

步骤2 配置运行OSPF的网段
RT1(config-router)# network 10.0.0.0/24 area 0

配置 RT2

步骤1 启动OSPF进程
RT2(config)# router ospf
RT1(config-router)# redistribute connected
步骤2 配置运行OSPF的网段
RT2(config-router)# network 10.0.0.0/24 area 0

步骤3 设置缺省metric值为88
RT1(config-router)# default-metric 88

步骤4 从RT1的路由表中可以看到这个metric值已经生效
RT1(config)#show ip route
Codes: C - connected, S - static, R - RIP, O - OSPF, B - BGP,
>* - selected route

O 10.0.0.0/24 [110/10] is directly connected, v1, 00:13:57

C>* 10.0.0.0/24 is directly connected, v1
O>* 11.0.0.0/24 [110/88] via 10.0.0.2, v1, 00:12:54
O>* 12.0.0.0/24 [110/88] via 10.0.0.2, v1, 00:12:54
O>* 13.0.0.0/24 [110/88] via 10.0.0.2, v1, 00:12:23

16-16
 第 16 章 配置 OSPF

16.2.11 监控和维护OSPF

可以查看和显示有关 OSPF 的各种统计信息，例如 IP 路由表，内存和数据库。提

供的信息可以用来分析资源的使用情况或者用来解决网络连接问题。

配置案例

以图 16-5 的组网图为例，下面介绍一下相关的命令及作用。
Show ip ospf database 主要用来显示 LSA 数据库信息，包括各种类型的 LSA。如
果要显示具体的某一类 LSA 信息，可以附加 LSA 的类型参数，显示结果如下。

RT1(config)#show ip ospf database

OSPF Router with ID (12.0.0.3)

5 lsas, 2 external routes.

Router Link States (Area 0.0.0.0)

Link ID ADV Router Age Seq# CkSum Link count

12.0.0.3 12.0.0.3 294 0x80000004 0x080a 1
13.0.0.2 13.0.0.2 296 0x80000007 0x10fb 1

Net Link States (Area 0.0.0.0)

Link ID ADV Router Age Seq# CkSum

10.0.0.2 13.0.0.2 301 0x80000002 0x859a

AS External Link States

Link ID ADV Router Age Seq# CkSum Route

12.0.0.0 13.0.0.2 217 0x80000002 0x2c66 V3 12.0.0.0/24
[0x0]
13.0.0.0 13.0.0.2 237 0x80000002 0x1f72 V3 13.0.0.0/24
[0x0]

show ip ospf interface 主要用来显示 OSPF 接口信息，可以附加接口名字参数来显

示具体的某个接口信息，显示结果如下。

16-17
第 16 章 配置 OSPF

RT1(config)#show ip ospf interface

default is down, line protocol is down
OSPF not enabled on this interface
v1 is up, line protocol is up
Internet Address 10.0.0.1/24, Area 0.0.0.0
Router ID 12.0.0.3, Network Type BROADCAST, Cost: 10
Transmit Delay is 1 sec, State Backup, Priority 1
Designated Router (ID) 13.0.0.2, Interface Address 10.0.0.2
Backup Designated Router (ID) 12.0.0.3, Interface Address 10.0.0.1
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit
5
Hello due in 00:00:03
Neighbor Count is 1, Adjacent neighbor count is 1

show ip ospf neighbor 主要用来显示 OSPF 的邻居信息，可以附加邻居的 router-id

参数来显示具体的某个邻居信息，显示结果如下。
RT1(config)#show ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface RXmtL
RqstL DBsmL
13.0.0.2 1 Full/DR 00:00:36 10.0.0.2 v1:10.0.0.1 0 0
0

show ip ospf route 主要用来显示 OSPF 的路由信息，显示结果如下。

RT1(config)#show ip ospf route
============ OSPF network routing table ============
N 10.0.0.0/24 [10] area: 0.0.0.0
directly attached to v1

============ OSPF router routing table =============

R 13.0.0.2 [10] area: 0.0.0.0, ASBR
via 10.0.0.2, v1

============ OSPF external routing table ===========

N V3 12.0.0.0/24 [36/10] tag: 0
via 10.0.0.2, v1
N V3 13.0.0.0/24 [36/10] tag: 0
via 10.0.0.2, v1

show ip ospf 主要用来显示 OSPF 总体信息和区域信息，显示结果如下。

16-18
 第 16 章 配置 OSPF

RT1(config)#show ip ospf
OSPF Routing Process, Router ID: 12.0.0.3
Supports only single ToS (ToS0) routes
This implementation conforms to RFC2328
RFC1583 Compatibility flag is disabled
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Refresh timer 10 secs
Number of external LSA 2
Number of areas attached to this router: 1

Area ID: 0.0.0.0 (Backbone)

Number of interfaces in this area: Total: 1, Active: 1
Number of fully adjacent neighbors in this area: 1
Area has no authentication
SPF algorithm executed 3 times
Number of LSA 3

16.3 常见故障分析

16.3.1 OSPF邻接关系没有建立

现象 OSPF邻接关系没有建立
分析与 有以下几种可能：
解决 1、 路由器上的OSPF任务没有启动。可以用show ip ospf命令查看。
2、 OSPF在相应的接口上没有启动。可以用show ip ospf interface命令查看。
3、 OSPF接口的hello间隔和dead间隔不一致。可以用show ip ospf interface
命令查看。
4、 在相邻接口上的OSPF网络类型不一致。可以用show ip ospf interface命令
查看。
5、 在相邻接口上的认证类型或密钥不一致。可以用show run命令查看。
6、 OSPF相邻接口所属区域或区域类型不一致。可以用show run和show ip
ospf interface命令查看。
7、 OSPF邻居与本地OSPF实例具有相同的router-ID。可以用show ip ospf查
看。
8、 OSPF的hello报文由于资源的缺乏而得不到及时的处理（例如，CPU和内
存资源的耗尽）。
9、 底层发生问题导致OSPF不能正确地收发hello报文。可通过Ping命令测试，
若从本地路由器ping对端路由器不通，则表明物理连接和下层协议有问题。

16-19
第 16 章 配置 OSPF

16.4 命令参考

16.4.1 area authentication

area [<0-4294967295>|<A.B.C.D>] authentication

命令格式
area [<0-4294967295>|<A.B.C.D>] authentication message-digest
no area [<0-4294967295>|<A.B.C.D>] authentication

命令功能 开启 OSPF 在某个区域（area）中的认证（authentication）功能。

其对应的 no 命令禁止某个区域（area）中的认证。

命令模式 router ospf 配置模式

参数说明 参数 说明
[<0-4294967295>| 要开启认证的区域（Area）的编号，可以是IP地址
<A.B.C.D>] 形式或数字形式
message-digest 可选，表示采用MD5认证

默认状态 没有认证。

使用指导 OSPF 提供了两种认证模式，一个是简单明文认证（clear text

authentication），另一个是 MD5 认证， 这个命令里，MD5 认证用
message-digest 参数来设置。在同一个 OSPF 区域（area）内，认证模式
必须是一致的，如果两个交换机的端口需要交换 OSPF 包，那么这些端口
的密码（authentication password）也必须是一致的，这个密码可以在端口
模式(interface)下，用命令 ip ospf authentication-key 来设置。如果是 MD5
认证，则用 ip ospf message-digest-key 来设置密码。

配置实例 创建 VLAN，启动 OSPF，并且分别为两个 OSPF 区域设置认证模式，端

口（在这里，端口和 VLAN 是一样的）也配置了密码：
create vlan v1
config vlan v1 ipaddress 11.0.0.1 255.255.255.0
config vlan v1 add port 1,2,3,4 untagged
create vlan v2
config vlan v2 ipaddress 12.0.0.1 255.255.255.0
config vlan v2 add port 9,10,11,12 untagged

router ospf
router-id 11.0.0.1
network 11.0.0.0/24 area 0
network 12.0.0.0/24 area 1
area 0 authentication

16-20
 第 16 章 配置 OSPF

area 1 authentication message-digest

exit

create vlan v1
interface v1
ip ospf authentication-key testpass
exit

create vlan v2
interface v2
ip ospf message-digest-key 1 md5 testpass
exit

16.4.2 area default-cost

area [<A.B.C.D>|<0-4294967295>] default-cost <0-16777215>

命令格式
no area [<A.B.C.D>|<0-4294967295>] default-cost

命令功能 对于 stub 域（stub area）

，ABR 会产生一条缺省路由（default route），该
命令可以设定这条缺省路由的 cost。
其对应的 no 命令恢复到缺省状态。

命令模式 router ospf 配置模式

参数说明 参数 说明
[<A.B.C.D>|<0-4294967295>] 域（Area）的编号，可以是IP地址模式
或数字形式
<0-16777215> stub area缺省路由的cost

默认状态 cost 的缺省值是 1。

使用指导 这个命令只需要在 stub area 的边界路由器（ABR，Area Border Router）

上配置。ABR 会向 stub area 内发送一条缺省路由，这个命令为缺省路由
指定 metric 值。area 0 和 virtual-link transmit area
（包含 virtual-link 的 area）
不能被设置为 stub area，也不能配置这条命令。

配置实例 下面的配置让路由器加入两个 area（其中一个是 stub area），从而成为边

界路由器。用本命令指定缺省路由的 metric 为 10。
config vlan default ipaddress 192.168.0.100 255.255.255.0
create vlan v1
config vlan v1 ipaddress 11.0.0.2 255.255.255.0
config vlan v1 add port 1,2,3,4 untagged
create vlan v2

16-21
第 16 章 配置 OSPF

config vlan v2 ipaddress 12.0.0.1 255.255.255.0

config vlan v2 add port 9,10,11,12 untagged
router ospf
network 11.0.0.0/24 area 1
network 12.0.0.0/24 area 0
area 1 stub
area 1 default-cost 10
exit

area stub
相关命令

16.4.3 area range

area [<0-4294967295>|<A.B.C.D>] range <A.B.C.D/M> {[advertise|

命令格式 not-advertise]}*1
no area [<0-4294967295>|<A.B.C.D>] range <A.B.C.D/M> {[advertise|
not-advertise]}*1

命令功能 设置 ABR 对某个 area 的多条路由进行聚合（summarize）。对于聚合范围

内的多条路由，ABR 只产生本命令指定的一条聚合路由。
其对应的 no 命令可以禁止（disable）路由聚合。

命令模式 router ospf 配置模式

参数说明 参数 说明
[<0-4294967295> area ID，指定对哪个area的路由进行聚合
|<A.B.C.D>]
<A.B.C.D/M> 网络地址，用来指定对哪个网段的路由进行聚合
not-advertise 可选。如果设置了not-advertise，ABR就不会发出聚
合过的路由，而且聚合前的路由也不会发布，用这个
方法可以隐藏起网络信息。相反，如果设置了
advertise，ABR就会发出聚合过的路由，这与不加
选项的默认情况相同。

默认状态 不聚合。

使用指导 这个命令只能在 ABR 上生效。路由聚合的好处是可以减少边界路由器发布

的路由条数，而且可以掩盖网络内部的划分细节。一般情况下，没有必要
配置这个命令。

配置实例 指定对 area 1 的 11.0.0.0/8 网段的路由进行聚合，这样在其它 area 中的路

由器将只能收到目标地址为 11.0.0.0/8 的路由：
Harbour(config)#router ospf

16-22
 第 16 章 配置 OSPF

Harbour(config-router)#area 1 range 11.0.0.0/8

Harbour(config-router)#exit

16.4.4 area stub

area [<0-4294967295>|<A.B.C.D>] stub [no-summary]

命令格式
no area [<0-4294967295>|<A.B.C.D>] stub [no-summary]

命令功能 这个命令可以使某个区域（area）成为 stub area。在 stub area 内，不传

播 AS External LSA，这使 OSPF 协议引起的网络负载减少了很多。如果
配置了 no-summary 选项，OSPF 会停止传输 summary LSA（第 3 类），
从而进一步减少负载流量。
其对应的 no 命令可以取消 stub area 的设置。

命令模式 router ospf 配置模式

参数说明 参数 说明
[<0-4294967295>|<A.B.C. 区域（Area）的ID，可以是IP地址形式或
D>] 数字形式。
no-summary 可选，只需在ABR上设置，如果配置，相
应的area就成为totally stub area，ABR不
会向totally stub area 内部发送 summary
LSA（第3类LSA），而用一条缺省路由（全
0的路由）指明stub area的网络出口。

默认状态 没有设置 stub area。

使用指导 如果只需要取消 no-summary 的设置，可以使用命令 no area <A.B.C.D>

stub no-summary，这个命令会保留 stub，但是会删除 no-summary 参数。
如果要使一个区域（area）成为 stub area，必须把该 area 的所有路由器
都配置为 stub，否则这些路由器之间将无法建立邻居或邻接关系。值得注
意的是 no-summary 参数只需在 ABR 上设置。设置后 ABR 不会向 stub area
内部发送 summary LSA（第 3 类 LSA），而用一条缺省路由（全 0 的路由）
指明 stub area 的网络出口。

配置实例 请参考 area [<A.B.C.D>|<0-4294967295>] default-cost <0-16777215>命

令的例子。

16.4.5 area virtual-link

area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>

命令格式 [authentication-key] <AUTH_KEY>

16-23
第 16 章 配置 OSPF

area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>

[authentication] {[message-digest|null]}*1
area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>
[message-digest-key] <1-255> [md5] <KEY>
area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>
{[hello-interval] <1-65535>}*1 {[retransmit-interval] <3-65535>}*1
{[transmit-delay] <1-65535>}*1 {[dead-interval] <1-65535>}*1
no area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>
[authentication-key]
no area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>
[authentication]
no area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>
[message-digest-key] <1-255>
no area [<0-4294967295>|<A.B.C.D>] virtual-link <A.B.C.D>
{[hello-interval] <1-65535>}*1 {[retransmit-interval] <3-65535>}*1
{[transmit-delay] <1-65535>}*1 {[dead-interval] <1-65535>}*1

命令功能 在 OSPF 中，规定所有的 area 必须和骨干区域（backbone area）直接相

连，如果因为网络故障或特殊情况而无法做到这一点，也可以用 virtual link
来建立连接。（但是并不推荐总是使用 virtual link）。
其对应的 no 命令可以取消 virtual link 的配置。

命令模式 router ospf 配置模式

参数说明 参数 说明

[<0-4294967295>|<A.B.C. 区域（Area）的ID，可以是IP地址形式或
D>] 数字形式。

message-digest 消息摘要认证。

null 不要认证，与默认情况相同。

virtual-link <A.B.C.D> virtual-link 对端 邻居的 router id。可以用

show ip ospf命令查看。

16-24

authentication-key 可选。简单明文认证的密码。有效长度是8
<AUTH_KEY> 个字节，而且必须不包含空格，超过的部
 第 16 章 配置 OSPF

dead-interval <1-65535> 可选。缺省值是40秒。如果经过这么长时

间，还没有从邻居收到hello包，OSPF就认
为邻居路由器已经关机了。这个值通常是
hello-interval的4倍。（在每个子网中的各
端口必须用统一的设置）

默认状态 没有设置 message-digest-key <1-255> md5 <KEY>。

hello-interval：10 秒；retransmit-interval：5 秒；transmit-delay：1 秒；
dead-interval：40 秒。

使用指导 这个命令比较复杂，但是实际上往往只使用最简单的模式就可以满足大部
分需要了，所以请忽略您用不到的部分。如果您的确需 要，可以再回来详
细阅读相关内容。如果有必要，可以为 virtual link 设置各种参数，也可以
设置简单明文认证和 MD5 认证，和普通的认证很相似，同样需要为 area
和 virtual link 同时配置。在逻辑上，virtual link 属于 backbone area，但是
它的认证模式可以和 backbone area 上的认证模式不一致。如果只想删除
virtual link 的某个参数，可以用下面的命令：

配置实例 用缺省值建立一个 virtual link：

router ospf
area 1 virtual-link 14.0.0.2
exit
建立一个有 MD5 认证的 virtual link，而且也在 area 0（backbone area）
设置了认证模式：
Harbour(config)#router ospf
Harbour(config-router)#area 1 virtual-link 14.0.0.2
Harbour(config-router)#area 1 virtual-link 14.0.0.2 authentication-key
test
Harbour(config-router)#area 1 virtual-link 14.0.0.2 authentication
Harbour(config-router)#exit

16.4.6 auto-cost reference-bandwidth

auto-cost reference-bandwidth <1-4294967>

命令格式
no auto-cost reference-bandwidth

命令功能 OSPF 根据接口的带宽来自动计算 cost。

其对应的 no 命令可以取消 auto-cost reference-bandwidth 的配置。

命令模式 router ospf 配置模式

参数说明 参数 说明
<1-4294967> 接口带宽
16-25
第 16 章 配置 OSPF

<1-4294967> 接口带宽

默认状态 100Mbps。

使用指导 自动计算 cost 的公式：cost = reference-bandwidth / 接口带宽。比如以太

网接口的 cost 是 10，FDDI 接口的 cost 是 1。
如果 OSPF 网络中有的设备接口的带宽非常大，超过默认的参考带宽（如
STM-1、GE），这时可以设置一个更大的 reference-bandwidth，使 OSPF
可以准确地反映出路径开销。推荐使用最大的接口带宽作为参考带宽。注
意需要在 OSPF 网络中的所有 OSPF 路由器上设置一致。
使用 ip ospf cost <1-65535>命令，可以手工地为某个端口指定 metric，这
个设定会覆盖 OSPF 自动计算的 metric。

配置实例 把 reference-bandwidth 配成 1000：

Harbour(config)#router ospf
Harbour(config-router)#router-id 11.0.0.1
Harbour(config-router)#network 11.0.0.0/24 area 1
Harbour(config-router)#auto-cost reference-bandwidth 1000
Harbour(config-router)#exit

16.4.7 clear ip ospf neighbor

clear ip ospf neighbor

命令格式

命令功能 重新建立和指定 OSPF 路由器的邻居关系，和这个邻居相关的网络连接状

态会被刷新，LSA 会重新发送。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 需要刷新的邻居的router ID

使用指导 当管理员希望从某个邻居重新进行一次数据库同步时，可以使用这个命令。
为了不引起网络的混乱，需要在整个 AS 统一这个配置。一般情况下请不
要修改这个值。

配置实例 刷新来自 12.0.0.2 的 LSA：

clear ip ospf neighbor 12.0.0.2

16-26
 第 16 章 配置 OSPF

16.4.8 compatible rfc1583

compatible rfc1583
命令格式
no compatible rfc1583

命令功能 如果需要和只支持 rfc1583 的路由器互联，请配置这个命令。

其对应的 no 命令可以禁止 rfc1583 兼容功能。

命令模式 router ospf 配置模式

默认状态 compatible rfc1583 被禁止。

使用指导 现在的大多数路由器都支持 rfc2328，所以这个命令不太常用。在一个 AS

内部，所有的路由器都必须在这一设置上统一。因为 rfc2328 对 summary
route cost 的计算方式和 rfc1583 不一样，所以 AS 内路由器设置不一样的
话，可能产生路由环路。

Harbour(config)#router ospf
配置实例 Harbour(config-router)#compatible rfc1583
Harbour(config-router)#exit

16.4.9 debug ospf event

debug ospf event

命令格式
no debug ospf event

命令功能 使能 OSPF 的主要触发事件的调试信息输出，比如：ospf 路由计算，

ABR/ASBR 的状态的改变等。
取消 OSPF 的主要触发事件的调试信息输出。

命令模式 配置模式

Harbour(config)# debug ospf event

配置实例

16.4.10 debug ospf ism

debug ospf ism

命令格式
no debug ospf ism

命令功能 使能接口状态机的调试信息输出。
取消接口状态机的调试信息输出。

16-27
第 16 章 配置 OSPF

命令模式 配置模式

Harbour(config)# debug ospf ism

配置实例

16.4.11 debug ospf ism

[status|events|timers]

debug ospf ism [status|events|timers]

命令格式 no debug ospf ism [status|events|timers]

命令功能 使能接口状态机的调试信息输出。
取消接口状态机的调试信息输出。

命令模式 配置模式

参数说明 参数 说明
status 输出接口状态机的状态
events 输出接口状态机上发生的事件
timers 输出接口状态机的时钟触发

Harbour(config)# debug ospf ism status

配置实例

16.4.12 debug ospf lsa

debug ospf lsa

命令格式
no debug ospf lsa

命令功能 使能 OSPF LSA 处理的调试信息输出。

取消 OSPF LSA 处理的调试信息输出。

命令模式 配置模式

Harbour(config)# debug ospf lsa

配置实例

16.4.13 debug ospf lsa

[generate|flooding|refresh]

debug ospf lsa [generate|flooding|refresh]

命令格式
no debug ospf lsa [generate|flooding|refresh]

16-28
 第 16 章 配置 OSPF

命令功能 使能 OSPF LSA 处理的调试信息输出。

取消 OSPF LSA 处理的调试信息输出。

命令模式 配置模式

参数说明 参数 说明
generate 输出新产生lsa
flooding 广播lsa
refresh 刷新lsa

Harbour(config)# debug ospf lsa flooding

配置实例

16.4.14 debug ospf nsm

debug ospf nsm

命令格式 no debug ospf nsm

命令功能 使能邻居状态机的调试信息输出。
取消邻居状态机的调试信息输出。

命令模式 配置模式

Harbour(config)# debug ospf nsm

配置实例

16.4.15 debug ospf nsm

[status|events|timers]

debug ospf nsm [status|events|timers]

命令格式 no debug ospf nsm [status|events|timers]

命令功能 使能邻居状态机的调试信息输出。
取消邻居状态机的调试信息输出。

命令模式 配置模式

参数说明 参数 说明
status 输出邻居状态机的状态
events 输出邻居状态机上发生的事件
timers 输出邻居状态机触发的时钟

16-29
第 16 章 配置 OSPF

Harbour(config)# debug ospf nsm event

配置实例

16.4.16 debug ospf packet

[hello|dd|ls-request|ls-update|ls-ac
k|all]

debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]

命令格式 no debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]

命令功能 使能 OSPF 收发数据报文的调试信息输出。

取消 OSPF 收发数据报文的调试信息输出。

命令模式 配置模式

参数说明 参数 说明
hello 输出hello报文信息
dd 输出database description报文信息
ls-request 输出request报文信息
ls-update 输出update报文信息
ls-ack 输出ack报文信息
all 输出所有ospf报文类型

Harbour(config)# debug ospf packet hello

配置实例

16.4.17 debug ospf packet

[hello|dd|ls-request|ls-update|ls-ac
k|all] [send|recv] [detail]

debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]

命令格式 [send|recv] [detail]
no debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]
[send|recv] [detail]

命令功能 使能 OSPF 收发数据报文的调试信息输出。

取消 OSPF 收发数据报文的调试信息输出。

命令模式 配置模式

参数说明 参数 说明
hello 输出hello报文信息

16-30
 第 16 章 配置 OSPF

dd 输出database description报文信息
ls-request 输出request报文信息
ls-update 输出update报文信息
ls-ack 输出ack报文信息
all 输出所有ospf报文类型
send 输出发送报文信息
recv 输出接收报文信息
detail 输出详细显示报文内容

Harbour(config)# debug ospf packet hello send

配置实例

16.4.18 debug ospf packet

[hello|dd|ls-request|ls-update|ls-ac
k|all] [send|recv|detail]

debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]

命令格式 [send|recv|detail]
no debug ospf packet [hello|dd|ls-request|ls-update|ls-ack|all]
[send|recv|detail]

命令功能 使能 OSPF 收发数据报文的调试信息输出。

取消 OSPF 收发数据报文的调试信息输出。

命令模式 配置模式

参数说明 参数 说明
hello 输出hello报文信息
dd 输出database description报文信息
ls-request 输出request报文信息
ls-update 输出update报文信息
ls-ack 输出ack报文信息
all 输出所有ospf报文类型
send 输出发送报文信息
recv 输出接收报文信息
detail 输出详细显示报文内容

Harbour(config)# debug ospf packet hello send detail

配置实例

16-31
第 16 章 配置 OSPF

16.4.19 debug ospf rm

debug ospf rm
命令格式
no debug ospf rm

命令功能 使能 OSPF 与路由管理相关的调试信息输出。

取消 OSPF 与路由管理相关的调试信息输出。

命令模式 配置模式

Harbour(config)# debug ospf rm

配置实例

16.4.20 debug ospf rm

[interface|redistribute]

debug ospf rm [interface|redistribute]

命令格式
no debug ospf rm [interface|redistribute]

命令功能 使能 OSPF 与路由管理相关的接口或路由重分布的调试信息输出。

取消 OSPF 与路由管理相关的接口或路由重分布的调试信息输出。

命令模式 配置模式

参数说明 参数 说明
interface 输出接口添加、删除的信息
redistribute 输出路由重分布的信息

Harbour(config)# debug ospf rm interface

配置实例

16.4.21 default-information originate

default-information originate {[always]}*1{type <1-2>}*1 {[metric]

命令格式 <0-16777214>}*1 {[route-map] <WORD>}*1
no default-information originate

命令功能 使能路由器向整个 OSPF 域（routing domain）

发送缺省路由（default route，
0.0.0.0/0）的功能。
其对应的 no 命令取消上述配置。

命令模式 router ospf 配置模式

16-32
 第 16 章 配置 OSPF

参数说明 参数 说明
always 不论是否产生了由其他协议redistribute来
的缺省路由，都产生一条缺省路由
<1-2> 缺省路由的类型
<0-16777214> 缺省路由的metric
<WORD> 指定一个route-map

默认状态 metric 值为 10，type 为 type 2。

使用指导 对 OSPF 来说，外部路由有两种类型。Typv2=Type 1 external route，

typv3=type 2 external route。
在发出缺省路由之前会经过 route-map 的过滤，如果缺省路由不符合
route-map 的限定条件，就不发出路由。
任何时候，只要一台路由器上配置了 redistribute 命令，它就自动的成为
ASBR（autonomous system boundary router，自治系统边界路由器）。但
是对缺省路由的处理是特殊的。在没有配置 default-information originate
命令的情况下，OSPF 路由器不会产生缺省路由。所以如果需要 OSPF 路
由器发出缺省路由，需要先配置该命令。如果配置了 always 参数，不论路
由表中是否存在缺省路由，OSPF 都会产生一条缺省路由并通告之。特别
要提到的是 route-map 选项，用它可以定义一个对缺省路由的过滤方案，
在发出缺省路由之前，会用指定的 route-map 对它进行过滤和设置属性值。

配置实例 让路由器发出一条缺省路由，metric 100，1 类外部路由：

Harbour(config)#router ospf
Harbour(config-router)#default-information originate always type 1
metric 100
Harbour(config-router)#exit

16.4.22 default-metric

default-metric <0-16777214>
命令格式
no default-metric

命令功能 为 OSPF 设置从其它路由协议中导入路由的默认的 metric 值。

其对应的 no 命令使 default-metric 恢复到缺省状态。

命令模式 router ospf 配置模式

参数说明 参数 说明
<0-16777214> 指定缺省的OSPF metric

16-33
第 16 章 配置 OSPF

默认状态 default-metric 为 20。

使用指导 default-metric 通常是和 redistribute 命令共同使用的。在不同的路由协议之

间，常常没有通用的 metric，这个命令就是为了处理这种情况，它可以为
转发（redistribute）的路由设置一个缺省的 metric。

配置实例 把 default-metric 设置为 21：

Harbour(config)#router ospf
Harbour(config-router)#redistribute static
Harbour(config-router)#default-metric 21
Harbour(config-router)#exit

16.4.23 distance

distance <1-255>
命令格式
no distance <1-255>

命令功能 设置 OSPF 路由的 administrative distance。

其对应的 no 命令使 administrative distance 恢复到缺省状态。

命令模式 router ospf 配置模式

参数说明 参数 说明 缺省配置
<1-255> OSPF路由的distance 110

使用指导 administrative distance 的值越小，表示可信度越高。

该命令的配置可以被 distance ospf 命令覆盖。请参考 distance ospf 命令。

配置实例 把 OSPF 可信度设置为 150：

Harbour(config)#router ospf
Harbour(config-router)#distance 150
Harbour(config-router)#exit
Harbour(config-router)#show ip route
Codes： C - connected, S - static, R - RIP
> - selected route, * - FIB route
O 11.0.0.0/24 [150/10] is directly connected, v1, 00：00：12
C>* 11.0.0.0/24 is directly connected, v1
C>* 12.0.0.0/24 is directly connected, v3

distance ospf
相关命令

16-34
 第 16 章 配置 OSPF

16.4.24 distance ospf

distance ospf {[intra-area] <1-255>}*1 {[inter-area] <1-255>}*1

命令格式 {[external] <1-255>}*1
no distance ospf

命令功能 根据 OSPF 的路由类型设置不同的 administrative distance。

其对应的 no 命令取消上述设置。

命令模式 router ospf 配置模式

参数说明 参数 说明
intra-area <1-255> 设置intra-area路由的distance
inter-area <1-255> 设置inter-area路由的distance
external <1-255> 设置external路由的distance

使用指导 administrative distance 的值越小，表示可信度越高。如果可信度是 255，

相应的路由将不被采用。
该命令和 distance 命令很类似，不过控制范围更精确。且该命令的优先级
比 distance 命令高。通常使用这个命令的目的是为了使内部路由（internal
routes）比外部路由（external routes）有更高的可信度。

配置实例 把外部路由的 distance 设置成 200，降低其可信度：

router ospf
redistribute static
network 11.0.0.0/24 area 1
distance ospf external 200
exit

distance
相关命令

16.4.25 distribute-list

distribute-list <WORD> out [connected|static|rip]

命令格式
no distribute-list <WORD> out [connected|static|rip]

命令功能 在 OSPF 引入外部路由时，用 access list 对它们进行过滤。

其对应的 no 命令取消上述设置。

命令模式 router ospf 配置模式

16-35
第 16 章 配置 OSPF

参数说明 参数 说明
<WORD> 用来过滤的access list的名字
[connected|static|rip] 指定对哪个来源的外部路由的引入进行过滤

使用指导 当 OSPF 引入路由时，会对路由项的目标网段进行分析，如果某个路由的

目标网段被 distribute-list 命令中指定的 access list 拒绝（deny），OSPF
将不引入该路由。

配置实例 使 OSPF 只引入 1.1.1.0/24 网段的路由：

配置access-list
access-list a1 permit 1.1.1.0/24

配置静态路由。
ip route 1.1.1.0/24 10.0.0.99
ip route 1.1.2.0/24 10.0.0.99
ip route 1.1.3.0/24 10.0.0.99

指定OSPF转发静态路由，并且对它们进行过滤。
router ospf
redistribute static
distribute-list a1 out static
exit

下面是结果：
flex1(config)#show ip ospf database

OSPF Router with ID (12.0.0.1) AS External Link States

Link ID ADV Router Age Seq# CkSum Route

1.1.1.0 12.0.0.1 158 0x80000001 0xf24e V3 1.1.1.0/24
[0x0]

可以看到只引入了access list允许的路由。其它的路由都被过滤掉了。

16.4.26 ip ospf authentication-key

ip ospf authentication-key <AUTH_KEY>

命令格式
no ip ospf authentication-key

为端口设置简单明文认证的密码（password for clear text authentication）。

命令功能
取消端口的密码设置。

命令模式 interface 配置模式

16-36
 第 16 章 配置 OSPF

参数说明 参数 说明 缺省配置
<AUTH_KEY> 密码，长度为8个有效字节 空字符串

create vlan v1
配置实例
interface v1
ip ospf authentication-key testpass
exit

area authentication
相关命令

16.4.27 ip ospf cost

ip ospf cost <1-65535>

命令格式
no ip ospf cost

命令功能 手工地为某个端口指定 cost，这个设定会覆盖 OSPF 自动计算出的 cost。

其对应的 no 命令取消 cost 设置。

命令模式 interface 配置模式

参数说明 参数 说明
<1-65535> 端口的metric

使用指导 当未手工设置 cost 值时，cost 值由计算得出。

配置实例 把一个端口的 cost 设为 2：

create vlan v1
interface v1
ip ospf cost 2
exit

16.4.28 ip ospf dead-interval

ip ospf dead-interval <1-65535>

命令格式
no ip ospf dead-interval

命令功能 定义一个时间间隔，如果在这段时间内没有收到某个邻居路由器的 Hello

包，就认为这个邻居已经消失了。
其对应的 no 命令将 dead-interval 恢复到缺省值。

命令模式 interface 配置模式

16-37
第 16 章 配置 OSPF

参数说明 参数 说明 缺省配置
<1-65535> dead-interval，单位：秒 40

使用指导 dead-interval 值会在 Hello 包中发送。在网段中的所有路由器的

dead-interval 必须一致，否则它们之间将无法建立邻居关系。

配置实例 设置 OSPF dead-interval 为 60 秒：

create vlan v1
interface v1
ip ospf dead-interval 60
exit

16.4.29 ip ospf hello-interval

ip ospf hello-interval <1-65535>

命令格式
no ip ospf hello-interval

命令功能 指定 OSPF 发送 Hello 包的时间间隔。

其对应的 no 命令将该时间间隔恢复为缺省值。

命令模式 interface 配置模式

参数说明 参数 说明 缺省配置
<1-65535> OSPF发送Hello包的时间间隔，单位：秒 10

使用指导 在整个网段中的所有路由器的 hello 间隔必须一致，否则它们之间将无法建

立邻居关系。这个值越小，网络结构的变化将越快被检测到，但是 OSPF
的 Hello 包也会占用更多的带宽。

配置实例 把端口 v1 的 OSPF hello-interval 设置为 15 秒：

create vlan v1
interface v1
ip ospf hello-interval 15
exit

16.4.30 ip ospf message-digest-key

ip ospf message-digest-key <1-255> md5 <KEY>

命令格式
no ip ospf message-digest-key <1-255>

命令功能 为了使能 OSPF 的 MD5 认证，需要用该命令设置 MD5 密码。

16-38
 第 16 章 配置 OSPF

其对应的 no 命令取消一个 MD5 密码设置。

命令模式 interface 配置模式

参数说明 参数 说明
<1-255> 密码的ID
<KEY> 密码，16个有效字节

使用指导 在填写认证域时，选用最新配置的 key ID 的 key 为发出的包签名。

create vlan v2
配置实例
interface v2
ip ospf message-digest-key 1 md5 testpass
exit

area authentication
相关命令

16.4.31 ip ospf mtu-ignore

ip ospf mtu-ignore
命令格式
no ip ospf mtu-ignore

命令功能 使 OSPF 在交换 DD 报文时忽略接口 MTU 的检查。

其对应的 no 命令取消上述配置。

命令模式 interface 配置模式

使用指导 在正常情况下，OSPF 在交换 DD 报文时需要进行接口 MTU 的检查，通过

配置这个命令，可以使 OSPF 忽略对接口 MTU 的检查。

create vlan v2
配置实例
interface v2
ip ospf mtu-ignore
exit

16.4.32 ip ospf network

ip ospf network [broadcast|non-broadcast|point-to-multipoint|

命令格式 point-to-point]
no ip ospf network

命令功能 配置与缺省网络类型不同的网络类型。

16-39
第 16 章 配置 OSPF

其对应的 no 命令恢复原来的网络类型。

命令模式 interface 配置模式

参数说明 参数 说明
broadcast 设置网络类型为broadcast
non-broadcast 设置网络类型为NBMA
point-to-mulpoint 设置网络类型为点对多点
point-to-point 设置网络类型为点对点

使用指导 使用该命令可以设置 broadcast 网络为 nonbroadcast multi-access

（NBMA）网络。例如在网络中某些路由器不支持组播地址，同样可以设
置 NBMA 网络（如 X.25,Frame Relay 和 SMDS）为 broadcast 网络。这
样就可以不使用 neighbor 命令。在 NBMA 中，必须使用 neighbor 命令才
能建立邻居关系。

Harbour(config-if)# ip ospf network point-to-point

配置实例

neighbor(OSPF)
相关命令
frame-relay map

16.4.33 ip ospf priority

ip ospf priority <0-255>

命令格式
no ip ospf priority

命令功能 设置 OSPF 的路由器优先级。

取消 OSPF 的路由器优先级的设置。

命令模式 interface 配置模式

参数说明 参数 说明 缺省配置
<0-255> 优先级 1

使用指导 该优先级会在网络中选举 DR（designated router）时发生作用。当同一网

段有两台路由器同时试图成为 DR 时，priority 较大的会竞选成功。如果它
们的 priority 一样，具有较大的 Router ID 的会成为 DR。如果一台路由器
的 priority 为 0，它就不会参与 DR 的竞选。

配置实例 设置端口 0 的 priority 为 3：

create vlan v1

16-40
 第 16 章 配置 OSPF

interface v1
ip ospf priority 3
exit

16.4.34 ip ospf retransmit-interval

ip ospf retransmit-interval <3-65535>

命令格式
no ip ospf retransmit-interval

命令功能 设置 LSA 的重传时间间隔（retransmit-interval）。

恢复 LSA 的重传时间间隔为默认值。

命令模式 interface 配置模式

参数说明 参数 说明 缺省配置
<3-65535> LSA的重传时间间隔，单位：秒 5

使用指导 当一台路由器向它的邻居发送 LSA 时，会保留这个 LSA 直到收到对应的

LS ACK 为止。如果过了 retransmit-interval，还没有收到回应，它会重传
这个 LSA。如果这个值被设得很小，将引起不必要的重传。在 virtual link
上，可以把它设置的长一些。

配置实例 把 v1 端口的 retransmit-interval 设为 10 秒：

create vlan v1
interface v1
ip ospf retransmit-interval 10
exit

16.4.35 ip ospf transmit-delay

ip ospf transmit-delay <1-65535>

命令格式
no ip ospf transmit-delay

命令功能 指定 transmit-delay 的值。

恢复 transmit-delay 为缺省值。

命令模式 interface 配置模式

参数说明 参数 说明 缺省配置
<1-65535> transmit-delay，单位：秒 1

16-41
第 16 章 配置 OSPF

使用指导 路由器发送一个 LSA 时，要把它的 age 增加一个值，用来标志这个 LSA

已经存在的时间，这个值称为 transmit-delay。
通常在很慢的链路上才有必要设置这个值，一般情况可以不配置。

配置实例 把 v1 端口的 transmit-delay 设置成 5 秒：

create vlan v1
interface v1
ip ospf transmit-delay 5
exit

16.4.36 neighbor

neighbor <A.B.C.D> {[priority] <0-255>}*1 {[poll-interval]

命令格式 <1-65535>}*1
no neighbor <A.B.C.D> {[priority] <0-255>}*1 {[poll-interval]
<1-65535>}*1

命令功能 指定向一个或多个邻居定期发送轮询的 hello 报文来发现邻居。

其对应的 no 命令取消上述配置。

命令模式 OSPF 配置模式

参数说明 参数 说明 缺省配置
<A.B.C.D> Neighbor的接口地址 ——
<0-255> Neighbor的优先级 0
<1-65535> Neighbor的poll报文间隔 60

使用指导 此命令只在非广播多路访问网络(NBMA)中或者在以太网中仿真 NBMA 网

络时使用，由于 NBMA 网络是非广播网，NBMA 网络中的路由器将不能保
证接收到网络内其他路由器发送的 hello 报文，从而不能正确地发现邻居信
息。使用 neighbor 命令可以通过手工指定向一个或多个邻居定期发送轮询
的 hello 报文来达到发现邻居的目的，同时可以通过设置邻居的优先级来影
响 DR/BDR 的选举结果, 通过轮询间隔的设置控制轮询发送 hello 报文的频
率。

配置实例 配置 RTA 成为 DR，RTB 成为 BDR，RTC 成为 DR-other，poll 报文的间

隔为 120 秒，其中 RTA 的 IP 为 192.168.0.8，RTB 的 IP 为 192.168.0.64，
RTC 的 IP 为 192.168.0.128：
RTA(config-router)# neighbor 192.168.0.64 priority 10 poll-interval 120
RTA(config-router)# neighbor 192.168.0.128 poll-interval 120
RTB(config-router)# neighbor 192.168.0.8 priority 100 poll-interval 120
RTC(config-router)# neighbor 192.168.0.8 priority 100 poll-interval 120

16-42
 第 16 章 配置 OSPF

16.4.37 network area

network <A.B.C.D/M> area [<A.B.C.D>|<0-4294967295>]

命令格式
no network <A.B.C.D/M> area [<A.B.C.D>|<0-4294967295>]

命令功能 定义在哪些端口上运行 OSPF，以及这些端口所属 area 的 ID。

对应的 no 命令取消上述配置。

命令模式 router ospf 配置模式

参数说明 参数 说明
<A.B.C.D/M> 执行OSPF的网段地址
<A.B.C.D>|<0-4294967295> 设置area ID，支持IP地址模式和数字模式

使用指导 如果一个端口的地址属于 network 命令定义的网段，就会被加入 area 命令

指定的 area 中。使用地址和掩码，可以用一条命令把多个端口加入某个
area。如果几个 network 命令定义的网段是可以互相覆盖的（或者说有交
集） ，那么一个端口会加入最长匹配的 network 命令指定的 area(这与 cisco
的实现有所区别)。

配置实例 设置两个 area，分别是 area 0 和 area 1：

router ospf
network 11.0.0.0/24 area 1
network 12.0.0.0/24 area 0
exit

16.4.38 passive-interface

passive-interface < ifname >

命令格式
no passive-interface < ifname >

命令功能 设置禁止某个接口进行 OSPF 报文的接收和发送，其实也就是禁止 OSPF

在这个接口上建立连接关系。
对应的 no 命令取消上述配置。

命令模式 OSPF 配置模式

参数说明 参数 说明
< ifname > 指定端口，禁止通过这个端口的OSPF通讯

16-43
第 16 章 配置 OSPF

使用指导 如果某个端口刚好被包含在 OSPF 的网段内，但是又不想让它和对端建立

连接，可以使用这个命令。如果因为安全的考虑，可以用这个命令来防止
对端学习本机的路由，实际通讯的选路可以用静态路由来代替。这个命令
的配置会把 OSPF 域分割开来。另外可以将连接 stub network 的 OSPF 接
口设为 passive-interface, 使 hello 报文不扩散到 stub network, 从而减少
不必要的流量负载。

router ospf
配置实例
passive-interface v1
exit

16.4.39 redistribute

redistribute [connected|static|rip] {type <1-2>}*1 {[metric]

命令格式 <0-16777214>}*1 {[route-map] <WORD>}*1
no redistribute [connected|static|rip]

命令功能 让 OSPF 重分布从其它协议得到的路由。只有选中到 fib 表中的路由才能被

OSPF 重分布。选中的路由在路由表中用一个 >* 号标明。要取消重分布
配置，可以使用其对应的 no 命令。

命令模式 router ospf 配置模式

参数说明 参数 说明
connected|static|rip 指定转发路由的来源，分别表示直连路由、静态
路由、和rip路由
<0-16777214> 因为各路由协议之间的metric不能通用，所以用
这个参数指定转发路由时设置的metric
<1-2> 指定被转发的路由的路径类型
<WORD> 指定一个route-map对转发的路由进行过滤

默认状态 metric 为 20，type 为 type 2。

配置实例 让 ospf 转发静态路由：

router ospf
redistribute static
exit

16.4.40 router-id

router-id <A.B.C.D>
命令格式
no router-id

16-44
 第 16 章 配置 OSPF

命令功能 设置路由器的 router ID。

取消路由器的 router ID。

命令模式 router ospf 配置模式

参数说明 参数 说明
<A.B.C.D> 用IP地址格式指定router ID

使用指导 router ID 是用来在网络上标识一台路由器的，所以在一个 AS 内部不能重

复。要让设置好的 router ID 生效，必须保存配置并重启交换机。

配置实例 指定设备的 router ID 为 10.0.0.1：

router ospf
router-id 10.0.0.1
exit

16.4.41 router ospf

router ospf
命令格式
no router ospf

命令功能 启动 OSPF 模块，并进入 OSPF 配置模式。

其对应的 no 命令终止和 OSPF 相关的服务。

命令模式 配置模式

16.4.42 show debug ospf

show debug ospf

命令格式

命令功能 显示已经打开的 OSPF 调试信息开关。

命令模式 配置模式

Harbour(config)# show debug ospf

配置实例

16-45
第 16 章 配置 OSPF

16.4.43 show ip ospf

show ip ospf
命令格式

命令功能 显示 OSPF 的各种基本信息。

命令模式 配置模式

Harbour(config)#show ip ospf
配置实例
OSPF Routing Process, Router ID： 12.0.0.2
Supports only single ToS (ToS0) routes
This implementation conforms to RFC2328
RFC1583Compatibility flag is disabled
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Refresh timer 10 secs
This router is an ASBR (injecting external routing information)
Number of external LSA 0
Number of areas attached to this router： 2

（下面这段是对某个area的描述。）
Area ID： 0.0.0.1
Shortcutting mode： Default, S-bit consensus： ok
Number of interfaces in this area： Total： 1, Active： 1
Number of fully adjacent neighbors in this area： 0
Area has no authentication
Number of full virtual adjacencies going through this area： 0
SPF algorithm executed 3 times
Number of LSA 1

16.4.44 show ip ospf border-routers

show ip ospf border-routers

命令格式

命令功能 显示 OSPF 路由表中的边界路由器 ABR 或 ASBR 的路由信息。

命令模式 配置模式

Harbour(config)# show ip ospf border-routers

配置实例
============ OSPF router routing table =============
R 192.168.0.64 [10] area: 0.0.0.0, ASBR
via 192.168.0.64, port8

16-46
 第 16 章 配置 OSPF

16.4.45 show ip ospf database

show ip ospf database

命令格式
show ip ospf database [asbr-summary|external|max-age|network|router|
self-originate|summary] [<A.B.C.D>] {adv-router <A.B.C.D>}*1

命令功能 显示 OSPF 数据库的内容，有许多不同的选项。

命令模式 interface 配置模式

参数说明 参数 说明
<A.B.C.D> 显示指定类型的LSA的内容，IP用来指定
LSA的link state ID
adv-router <A.B.C.D> 显示指定路由器产生的LSA，IP用来指定路
由器的router ID

使用指导 如果不加任何参数，将分类显示数据库中各种 lsa 的概要信息。

Harbour(config)#show ip ospf database

配置实例
OSPF Router with ID (12.0.0.2)
Router Link States (Area 0.0.0.1)
Link ID ADV Router Age Seq# CkSum Link count
12.0.0.2 12.0.0.2 122 0x80000004 0xa379 1
…………

Harbour(config)#show ip ospf database router

OSPF Router with ID (12.0.0.2)
Router Link States (Area 0.0.0.1)
LS age： 75
Options： 2
Flags： 0x2 ： ASBR
LS Type： router-LSA
Link State ID： 12.0.0.2
Advertising Router： 12.0.0.2
LS Seq Number： 80000004
Checksum： 0xa379
Length： 36
Number of Links： 1
Link connected to： Stub Network
(Link ID) Network/subnet number： 11.0.0.0
(Link Data) Network Mask： 255.255.255.0

16-47
第 16 章 配置 OSPF

Number of ToS metrics： 0

ToS 0 Metric： 10

16.4.46 show ip ospf interface

show ip ospf interface {<INTERFACE>}*1

命令格式

命令功能 显示运行 OSPF 的指定端口或所有端口的信息。

命令模式 配置模式

参数说明 参数 说明
<INTERFACE> 端口名

配置实例 显示端口 v1 的信息：

Harbour(config)#show ip ospf interface v1

v1 is up, line protocol is up

Internet Address 11.0.0.2/24, Area 0.0.0.1
Router ID 12.0.0.2, Network Type BROADCAST, Cost： 10
Transmit Delay is 1 sec, State DR, Priority 1
Designated Router (ID) 12.0.0.2, Interface Address 11.0.0.2
No backup designated router on this network
Timer interval configure, Hello 10, Dead 40, Wait 40, Retransmit 5
Hello due in 00：00：10
Neighbor Count is 0, Adjacent neighbor count is 0

16.4.47 show ip ospf neighbor

show ip ospf neighbor [<A.B.C.D>]

命令格式
show ip ospf neighbor detail

命令功能 显示 OSPF 邻居的信息。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 用router ID来指定邻居
Detail 显示详细信息

配置实例 下面是不加参数的例子：

16-48
 第 16 章 配置 OSPF

Harbour(config)#show ip ospf neighbor

Neighbor ID Pri State Dead Time Address Interface RXmtL RqstL
DBsmL
192.168.0.100 1 Full/Backup 00：00：36 11.0.0.1 v1 0 0 0

下面是查看某个 neighbor 细节的例子：

Harbour(config)#show ip ospf neighbor detail

Neighbor 192.168.0.100, interface address 11.0.0.1

In the area 0.0.0.1 via interface v1
Neighbor priority is 1, State is 2-Way, 2 state changes
DR is 0.0.0.0, BDR is 0.0.0.0
Options 2 *|*|-|-|-|-|E|*
Dead timer due in 00：00：30
Database Summary List 0
Link State Request List 0
Link State Retransmission List 0
Thread Inactivity Timer on
Thread Database Description Retransmision off
Thread Link State Request Retransmission off
Thread Link State Update Retransmission off

16.4.48 show ip ospf request-list

show ip ospf request-list {<A.B.C.D>}*1

命令格式

命令功能 显示 OSPF 邻居的请求列表中 LSA 的信息。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 用router ID来指定邻居

Harbour(config)# show ip ospf request-list

配置实例
Neighbor 192.168.0.64 on interface port8 ,link state request-list
count is 0

16.4.49 show ip ospf

retransmission-list

show ip ospf retransmission-list {<A.B.C.D>}*1

命令格式

16-49
第 16 章 配置 OSPF

命令功能 显示 OSPF 邻居的重传列表中 LSA 信息。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 用router ID来指定邻居

Harbour(config)# show ip ospf retransmission-list

配置实例
Neighbor 192.168.0.64 on interface port8,link state retransmission-list
count is 0

16.4.50 show ip route summary

show ip route summary

命令格式

命令功能 显示路由的分类统计值和路由总量信息。

命令模式 配置模式

Harbour(config)# show ip route summary

配置实例

16.4.51 show ip ospf virtual-links

show ip ospf virtual-links

命令格式

命令功能 显示运行 OSPF 的虚链路端口的相关信息。

命令模式 配置模式

Harbour(config)# show ip ospf virtual-links

配置实例

16.4.52 summary-address

summary-address <A.B.C.D/M>
命令格式
summary-address <A.B.C.D/M> not-advertise
no summary-address <A.B.C.D/M>

命令功能 设置外部聚合路由。

16-50
 第 16 章 配置 OSPF

命令模式 OSPF 配置模式

参数说明 参数 说明
<A.B.C.D/M> 网络地址，用来指定对哪个网段的路由进行聚合
not-advertise 不通告此条聚合路由

默认状态 缺省状态下不进行路由聚合。

使用指导 该命令可以让 ASBR 对多条外部路由进行聚合（summarize）。对于聚合范

围内的多条路由，ASBR 只产生本命令指定的一条聚合路由。使用
not-advertise，则不对外通告此条聚合的路由。

Harbour(config)# ip route 11.1.1.1/24 vlan1

配置实例
Harbour(config)# ip route 11.1.2.1/24 vlan3
Harbour(config)# ip route 11.1.3.1/24 vlan4
Harbour(config)# router ospf
Harbour(config-router)# redistribute static
Harbour(config-router)# summary-address 11.1.0.0/16
这样最后这个 router 通告出来的路由就将是 11.1.0.0/16 这条路由。

16.4.53 timers lsa-group-pacing

timers lsa-group-pacing <10-1800>

命令格式
no timers lsa-group-pacing

命令功能 设置相邻的两次 LSA 刷新的时间间隔。

对应的 no 命令取消两次 LSA 刷新的时间间隔的设置。

命令模式 router ospf 配置模式

参数说明 参数 说明 缺省配置
<10-1800> 两次LSA刷新的时间间隔，单位：秒 10

使用指导 运行 OSPF 应该每隔 1800 秒刷新一次已有的 LSA，如果两个 LSA 的重发

时间很接近，它们将同时被发送，这样可以减少网络上传输的 LS update
包的数量。一般地，这个“比较接近”的时间被设定为 refresh timer。
如果 area 内的 LSA 很少，可以把这个时间设的大一些，进一步减少 OSPF
协议对带宽的占用。

16-51
 第 17 章 配置路由策略

17 第17章 配置路由策略

17.1 路由策略概述

所谓路由策略，实际上是一种对路由协议收发、引入的路由进行人为干涉的手段，
使网络管理员可以在必要时调整、控制特定路由信息。干涉的方式主要是对路由信
息做过滤，接受某些路由，拒绝另一些路由。有的手段（routemap）也可以对路由
的属性做修改，如人为设置某些路由的下一跳，metric 等。
路由策略属于路由配置工作中的高级内容，只在必要时才使用。由于它是对路由协
议的工作进行人为干涉，应该由有经验的网络管理员设计、实施，以免造成网络路
由方面的故障。
使用路由策略通常要先定义路由过滤规则，可以使用的方式有访问列表、前缀列表
和路由映像。定义过滤规则之后，再把规则应用到路由协议的多种处理环节，从而
达到控制路由处理过程的作用。

17.1.1 访问列表（access-list）

访问列表（access-list）描述一个 IP 地址范围是否可接受，用于 IP 地址的过滤。用

户可以指定多个 IP 地址及掩码，并指定接受或拒绝。路由型访问列表（access-list
route）用于路由策略。访问列表规定了一个地址前缀，对匹配它的 IP 地址做判断。
在一个访问列表中没有匹配任何地址范围的地址将被当作被拒绝。

17.1.2 前缀列表（prefix-list）

描述一个 IP 前缀范围是否可接受，用于路由目的地址的过滤。用户可以指定多个 IP
前缀范围，并指定接受或拒绝。前缀列表规定了一个地址前缀的范围，对匹配它的
IP 前缀做判断。
一个 IP 前缀范围形如“10.1.0.0/16，掩码范围为 16-24”
。它可以匹配 10.1.0.0/16、

17-1
第 17 章 配置路由策略

10.1.128.0/19、10.1.1.0/24 等前缀，不能匹配 10.1.0.0/8、12.1.0.0/16 等前缀。

如果没有匹配任何条目，将对经过过滤的路由进行“拒绝”处理。

17.1.3 路由映像（routemap）

路由映像（routemap）是专用于路由策略的一种比较复杂的过滤和处理工具。每个
routemap 由一组 match 条件和一组 set 命令构成。其中 match 条件可以匹配路由
的多种属性,而 set 命令则可以修改被匹配路由的很多属性。Routemap 本身又分为
允许和拒绝两种类型，可以指定是否接受匹配的路由。如果没有匹配任何条目，将
对经过过滤的路由进行“拒绝”处理。

17.2 配置路由策略

17.2.1 配置路由策略的访问列表

配置步骤

步骤1 access-list route 定义access-list访问列表，允许或拒绝

指定网段的路由通过
步骤2 show access-list route 显示配置的访问列表

17.2.2 配置路由策略的前缀列表

配置步骤

步骤1 ip prefix-list 配置前缀列表。允许/拒绝指定目的网

段的路由通过

17-2
 第 17 章 配置路由策略

17.2.3 配置路由策略的路由映像

配置步骤

步骤1 route-map 进入route-map模式

步骤2 match ip address prefix-list IP地址匹配一条前缀列表
步骤3 set metric 设置这些路由的metric值
步骤4 show route-map 显示配置的路由映像

17.3 命令参考

17.3.1 access-list route

access-list route <name> <1-65535> [deny| permit] [<A.B.C.D/M> | any]

命令格式
no access-list route <name> [deny |permit] [<A.B.C.D/M> | any]
no access-list route <name>

命令功能 定义 access-list 访问列表，允许或拒绝指定网段的路由通过。

其对应的 no 命令删除 access-list 访问列表。

命令模式 配置模式

参数说明 参数 说明
<name> access-list名称，字符串或正整数
<1-65535> access-list的级别，正整数
[deny| permit] 拒绝或接受匹配的路由信息
<A.B.C.D/M> 指定匹配的IP地址和掩码长度
any 指定匹配所有的路由

使用指导 本命令创建或删除访问列表，之后应使用路由协议的相关命令将其应用到
所需要路由过滤的环节。
每一个 access-list 可包含多个元素，它们在 ACL 中各种描述语句的放置顺
序很重要，因为它的应用是按照描述语句在 ACL 中的顺序，根据各描述语
句的判断条件，对数据包进行检查。一旦找到某一匹配条件，就结束比较
过程，不再检查以后的其他条件判断语句。
访问列表可以配置多个地址范围，使用相同的访问列表名称多次使用此命
令即可。分以下四种情形：

17-3
第 17 章 配置路由策略

对于不同的访问控制元素，不同级别，执行结果：按优先级别加入；
对于不同的访问控制元素，相同级别，执行结果：替代以前的元素；
对于同一个访问控制元素，相同级别；执行结果：对于访问控制列表没有
影响；
对于同一个访问控制元素，不同级别，执行结果：替代以前的级别后，再
按优先级别加入。
在每个 access-list 的最后都有一默认匹配项“deny any”，进行相应配置时
需引起注意。

对接口v2接收的所有的RIP路由进行过滤
配置实例
Harbour(config)#access-list route a1 4 deny 10.1.1.1/16
Harbour(config)#access-list route a1 3 deny 12.1.1.1/16
Harbour(config)#access-list route a1 31 deny 14.1.1.1/16
Harbour(config)#access-list route a1 32 deny 14.1.1.1/16
Harbour(config)#access-list route a1 32 deny 13.1.1.1/16
Harbour(config)#show access-list route
access-list route a1 3 deny 12.1.1.1/16
access-list route a1 4 deny 10.1.1.1/16
access-list route a1 32 deny 13.1.1.1/16

access-list description
相关命令
distribute-list

17.3.2 access-list route description

access-list route <name> description <desc>

命令格式
no access-list route <name> description

命令功能 为 access-list 配置一段说明文字。

命令模式 配置模式

参数说明 参数 说明
<name> access-list名称
<desc> 说明字符串

Harbour(config)#access-list route a1 10 deny any

配置实例
Harbour(config)#access-list route a1 description acc-deny-all

access-list route
相关命令

17-4
 第 17 章 配置路由策略

17.3.3 ip lan_aggregate

ip lan_aggregate <A.B.C.D/M>
命令格式
no ip lan_aggregate <A.B.C.D/M>

命令功能 将几个相邻的子网聚合成一个更大的子网。
其对应的 no 命令删除聚合的子网。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D/M> 聚合后的子网及其掩码

使用指导 将几个相邻的子网聚合成一个更大的子网可以减少网络路由。由于只有 2K
主机表和 16 条网段表，路由条目（包括静态、直连和动态学习等所有路由）
应该小于或等于 16 条（如果存在默认路由，必须小于或等于 15 条，因为
默认路由需要占用 2 条网段表项）；否则会有大量的 L3 交换需要软件路由
实现，导致 CPU 负载过重。对于路由条数大于 16 条时的组网，视其情况
可对路由进行汇聚。

配置实例 交换机上配有 192.168.1.0/24 、192.168.2.0/24 和 192.168.3.0/24 三个子

网，执行 ip lan_aggreagte 192.168.0.0/16 将上述两条存在于 def 表中的
路由聚合为一条，从而起到减少路由数的目的，满足组网要求。

17.3.4 ip prefix-list

ip prefix-list <name> {seq <seq-no>} [[deny|permit] <A.B.C.D/M> {ge

命令格式 <masklen1>}{le <masklen2>} | any]
no ip prefix-list <name> {seq <seq-no>} [[deny|permit] <A.B.C.D/M> {ge
<masklen1>}{le <masklen2>} | any]

命令功能 配置前缀列表，允许或拒绝指定目的网段的路由通过。
其对应的 no 命令删除前缀列表。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<name> 前缀列表的名称，字符串 ——
<seq-no> 前缀列表的序号，1-4294967295 5
[deny|permit] 拒绝或接受指定的地址范围 ——
<A.B.C.D/M> 要匹配的IP地址范围 ——

17-5
第 17 章 配置路由策略

masklen1 匹配范围要求掩码长度大于等于此数值， M
取值为M+1至32
masklen2 匹配范围要求掩码长度小于等于此数值， 32
取值为M+1至32
any 匹配任何IP地址 ——

默认状态 无前缀列表。

使用指导 本命令创建或删除前缀列表，之后应使用路由协议的相关命令将其应用到
所需要路由过滤的环节。必要时可以通过 ge 和 le 子句给出前缀的掩码范
围，要求 M<masklen1<=masklen2。这时可以匹配成功的前缀掩码范围为：
masklen1 <= 被检验的掩码长度 <= masklen2
没有通过 ge 和 le 子句给出前缀的掩码范围时可以匹配成功的前缀掩码范
围为：M <= 被检验的掩码长度 <= 32
前缀列表可以由多个地址段构成。创建时应使用相同的前缀列表名称，但
配置不同的序列号。较小序列号的地址段将首先被匹配。序号可不连续。
在进行地址匹配时，如果一个地址匹配上一个地址段时，对于 permit 类型
的地址段则通过了过滤，对于 deny 类型则没有通过过滤，这时不会检查后
面的地址段。如果地址不在地址段范围中，则检查按序号下一个地址段。

Harbour(config)#ip prefix-list list1 seq 10 permit 10.0.0.0/8 ge 9 le

配置实例 24
Harbour(config)#ip prefix-list list1 seq 20 permit 20.0.0.0/8 ge 9 le
16
Harbour(config-route-map)#match as-path list1

ip prefix-list description
相关命令

17.3.5 ip prefix-list description

ip prefix-list <name> description <desc>

命令格式
no ip prefix-list <name> description

命令功能 配置前缀列表的说明文字。
其对应的 no 命令取消对前缀列表的说明文字的配置。

命令模式 配置模式

参数说明 参数 说明
<name> 前缀列表的名称，字符串
<desc> 前缀列表的说明文字，字符串

17-6
 第 17 章 配置路由策略

默认状态 无前缀列表说明。

ip prefix-list
相关命令

17.3.6 match interface

match interface <IFNAME>

命令格式
no match interface <IFNAME>

命令功能 配置 route-map 中的接口名匹配条件。

其对应的 no 命令取消上述配置。

命令模式 route-map 配置模式

参数说明 参数 说明
<IFNAME> 接口名

默认状态 无匹配条件。

使用指导 在 route-map 匹配过程中，符合至少一个 match 条件的路由将被加以指定

的 set 操作。不匹配的路由将被忽略。Match 过程是按 route-map 序号和
match 条件的顺序有顺序执行的。

配置实例 将路由的 next hop 地址是否为接口 v1 作为匹配条件：

Harbour(config)#route-map map1 permit 1
Harbour(config)#create vlan v1
Harbour(config-route-map)#match interface v1

17.3.7 match ip address

match ip address <ACLName>

命令格式
no match ip address <ACLName>

命令功能 配置 route-map 中的目的地址匹配条件，比较目的地址是否与 match 命令

指定的 access-list 指定网段匹配。
其对应的 no 命令取消上述配置。

命令模式 route-map 配置模式

参数说明 参数 说明

17-7
第 17 章 配置路由策略

<ACLName> access-list名字

默认状态 无匹配条件。

使用指导 在 route-map 匹配过程中，符合至少一个 match 条件的路由将被加以指定

的 set 操作。不匹配的路由将被忽略。Match 过程是按 route-map 序号和
match 条件的顺序有顺序执行的。

配置实例 将路由目的地址是否在网段 66.0.0.0/9 作为匹配条件：

Harbour(config)#access-list a1 permit 66.0.0.0/9
Harbour(config)#route-map map1 permit 1
Harbour(config-route-map)#match ip address a1

17.3.8 match ip address prefix-list

match ip address prefix-list <PrefixListName>

命令格式
no match ip address prefix-list <PrefixListName>

命令功能 配置 route-map 中的目的地址匹配条件，比较目的地址是否与 match 命令

指定的 prefix-list 指定的网段匹配。
其对应的 no 命令取消上述配置。

命令模式 route-map 配置模式

参数说明 参数 说明
<PrefixListName> prefix-list名字

默认状态 无匹配条件。

使用指导 在 route-map 匹配过程中，符合至少一个 match 条件的路由将被加以指定

的 set 操作。不匹配的路由将被忽略。Match 过程是按 route-map 序号和
match 条件的顺序有顺序执行的。

配置实例 将路由目的地址是否在网段 66.0.0.0/9 作为匹配条件：

Harbour(config)#ip prefix-list f1 permit 66.0.0.0/9
Harbour(config)#route-map map1 permit 1
Harbour(config-route-map)#match ip address f1

17-8
 第 17 章 配置路由策略

17.3.9 match ip next-hop

match ip next-hop <ACLName>

命令格式
no match ip next-hop <ACLName>

命令功能 配置 route-map 中的下一跳地址匹配条件，比较下一跳地址是否与 match

命令指定的 access-list 指定网段匹配。
其对应的 no 命令取消上述配置。

命令模式 route-map 配置模式

参数说明 参数 说明
<ACLName> access-list名字

默认状态 无匹配条件。

使用指导 在 route-map 匹配过程中，符合至少一个 match 条件的路由将被加以指定

的 set 操作。不匹配的路由将被忽略。Match 过程是按 route-map 序号和
match 条件的顺序有顺序执行的。

配置实例 将路由的 next-hop 地址是否在网段 66.0.0.0/9 作为匹配条件：

Harbour(config)#access-list a1 permit 66.0.0.0/9
Harbour(config)#route-map map1 permit 1
Harbour(config-route-map)#match ip next-hop a1

17.3.10 match metric

match metric <0-4294967295>

命令格式
no match metric <0-4294967295>

命令功能 配置 route-map 中的 metric 匹配条件。

其对应的 no 命令取消上述配置。

命令模式 route-map 配置模式

参数说明 参数 说明
<0-4294967295> 路由metric值

默认状态 无匹配条件。

使用指导 在 route-map 匹配过程中，符合至少一个 match 条件的路由将被加以指定

的 t 操作 不匹配的路由将被忽略 M t h 过程是按 t 序号和
17-9
第 17 章 配置路由策略

的 set 操作。不匹配的路由将被忽略。Match 过程是按 route-map 序号和

match 条件的顺序有顺序执行的。

配置实例 将路由的 metric 值是否为 1 作为匹配条件：

Harbour(config)#route-map map1 permit 1
Harbour(config-route-map)#match metric 1

17.3.11 on-match

on-match goto <1-65535>

命令格式
no on-match goto
on-match next
no on-match next

命令功能 设置路由策略中 ROUTEMAP 的执行顺序。

其对应的 no 命令取消上述配置。

命令模式 配置模式

参数说明 参数 说明
<1-65535> 路由图配置子句的索引号

使用指导 该命令可以控制路由图中各个子句的执行顺序。在默认情况下，路由图子
句在执行过程中，一旦发现匹配成立，则整个路由图后续的子句不再执行。
通过使用 GOTO 路由图子句的索引号，可以控制路由图继续执行指定的索
引子句，同样通过使用 NEXT 选项可以控制路由图继续执行下一条索引子
句。此命令的使用给路由图使用带来了一定的灵活性，但如果使用不当，
则会引入某些错误，所以建议在一般情况下不要使用此命令。

Harbour(config)# route-map test permit 10

配置实例
Harbour(config-route-map)# match ip address AcList
Harbour(config-route-map)# on-match goto 30
Harbour(config-route-map)# exit
Harbour(config)# route-map test permit 20
Harbour(config-route-map)# exit
Harbour(config)# route-map test permit 30
Harbour(config-route-map)# exit
在以上的配置中，如果匹配 AcList 成立，则路由图会直接跳到索引子句 30
继续执行，否则索引子句 20 与 30 都得不到执行，整个路由图就已经执行
完成了。

17-10
 第 17 章 配置路由策略

17.3.12 route-map

route-map <name> [deny|permit] <1-65535>

命令格式
no route-map <name>
no route-map <name> [deny|permit] <1-65535>

命令功能 创建 route-map 或进入已有 route-map 的配置模式。

其对应的 no 命令取消 route-map。

命令模式 配置模式

参数说明 参数 说明
<name> route map名称
deny 若match匹配，则过滤不通过，
不对指定的路由进行操作
permit 若有match匹配，则过滤通过，
对指定路由将在set命令处理后
进行操作，否则将忽略路由
<1-65535> 该route-map命令的序列号

默认状态 匹配后的操作默认为 permit。

无 route-map。

使用指导 一般将按照序列号从小到大的顺序执行 route-map 命令。

创建 route-map 之后，可使用它进行路由的过滤和更改。Route-map 命令
对路由的过滤进行更细致的控制。可以参考下面的例子了解如何配置
route-map。
每个 route-map 命令都包含一个 match 和 set 命令列表。其中 match 命令
指定引入路由的匹配条件。Set 命令指定条件匹配时引入路由所进行的操
作。
Match 命令有多种格式。Match 命令的顺序可以任意，但所有 match 都必
须参与匹配。
一个 route-map 包含多个命令。没有发生任何匹配的路由将被忽略，即这
样的路由将被拒绝。如果只是要修改路由的某些值，则应该在第二条
route-map 命令中定义一个准确的 match 命令。

配置实例 定义一个 route-map，命名为 r1。将目的地址与 a1 匹配的路由的下一跳地

址设置为 192.168.0.176。并将 r1 应用于 RIP 引入的静态路由：
Harbour(config)#access-list a1 permit 66.0.0.0/8
Harbour(config)#route-map r1 permit 1
Harbour(config-route-map)#match ip address a1

17-11
第 17 章 配置路由策略

Harbour(config-route-map)#set ip next-hop 192.168.0.176

Harbour(config)#router rip
Harbour(config-router)#redistribute static route-map r1

17.3.13 set ip next-hop

set ip next-hop <A.B.C.D>

命令格式
no set ip next-hop {<A.B.C.D>}

命令功能 配置 route-map 中的路由下一跳地址。

其对应的 no 命令取消上述配置。

命令模式 Route-map 配置模式

参数说明 参数 说明
<A.B.C.D> 下一跳地址

使用指导 route-map 中的这个 set 配置可以修改匹配到路由的下一跳地址。

配置实例 引入静态路由，并将此路由发送的 next hop 地址指定为 12.0.0.1：

Harbour(config)#ip route 66.0.0.0 9 192.168.0.115
Harbour(config)#access-list route a1 permit 66.0.0.0/9
Harbour(config)#route-map map1 permit 1
Harbour(config-route-map)#match ip address a1
Harbour(config-route-map)#set ip next-hop 12.0.0.1
Harbour(config-route-map)#exit
Harbour(config)#router rip
Harbour(config-router)#redistribute static route-map r1

route-map
相关命令

17.3.14 set metric

set metric <0-4294967295>

命令格式
no set metric {<0-4294967295>}

命令功能 配置 route-map 中的路由 metric 值。

其对应的 no 命令取消上述配置。

命令模式 Route-map 配置模式

17-12
 第 17 章 配置路由策略

参数说明 参数 说明
<0-4294967295> 路由metric值

使用指导 请参考 route-map 的使用指导。

配置实例 为 RIP 引入静态路由，并将路由发送 metric 值指定为 10：

Harbour(config)#ip route 66.0.0.0/8 192.168.0.115
Harbour(config)#access-list a1 permit 66.0.0.0/8
Harbour(config)#route-map r1 permit 1
Harbour(config-route-map)#match ip address a1
Harbour(config-route-map)#set metric 10
Harbour(config-route-map)#exit
Harbour(config)#router rip
Harbour(config-router)#redistribute static route-map r1

route-map
相关命令

17.3.15 set metric-type

set metric-type [type-1|type-2]

命令格式
no set metric-type {[type-1|type-2]}

命令功能 改变 OSPF 外部路由 metric 类型。

其对应的 no 命令取消上述配置。

命令模式 Route-map 配置模式

参数说明 参数 说明
type-1 路由metric类型1
type-2 路由metric类型2

使用指导 在 OSPF 协议中，类型 1 的外部 metric 是由 OSPF 接口开销累加得到的。

而类型 2 的外部 metric 描述 AS 外部路由 metric，与类型 1 的 metric 不可
做数值比较，并且认为所有类型 2 的 metric 都大于类型 1 的 metric。

Harbour(config-route-map)#set metric-type type-1

配置实例

route-map
相关命令

17-13
第 17 章 配置路由策略

17.3.16 show access-list route

show access-list route

命令格式

命令功能 显示路由类型的访问列表配置信息。

命令模式 配置模式

配置实例 显示所有用于路由过滤的访问列表：
Harbour(config)#show access-list route

17.3.17 show ip lan_aggregate

show ip lan_aggregate
命令格式

命令功能 显示所有聚合的子网。

命令模式 只读模式、配置模式

17.3.18 show route-map

show route-map {<name>}

命令格式

命令功能 显示 route-map 的配置信息。

命令模式 配置模式

参数说明 参数 说明
<name> route map名

使用指导 不指定 route-map 名称时将显示所有 route-map 的配置信息。

配置实例 显示所有 route-map：

Harbour(config)#show route-map

17-14
 第 18 章 配置组播路由协议

18 第18章 配置组播路由协议

18.1 概述

18.1.1 三层组播概述

IP 通讯通常使用单播方式，即 IP 报文的目的地址是一个单播 IP 地址，它说明了应

接收这个报文的设备的地址。每个报文只会有唯一的接收者。
在局部网段上，偶尔也使用 IP 广播地址，它的目的地址为 255.255.255.255。在网
段内的所有 IP 设备都要接收这个报文。为了避免广播风暴，通常路由器或交换机不
会把这个广播报文转发到其他网段。
IP 组播是一种点到多点的通信方式。IP 组播报文的目的地址是一个 D 类 IPv4 地址
(即 224.0.0.0 至 239.255.255.255)。它实际上已经不是某个设备的 IP 地址，而是表
示一个组。其中 224.0.0.*/24 和 239.0.0.*/24 这两个段一般是被协议保留，不能用
于用户数据通讯。
组播报文进入支持三层组播的网络时，将被转发到所有需要接收这个组的设备上。
接收者的数量可以是任意多个。网络设备只在必要的网络节点上才复制组播报文，
从而以最小的带宽占用将组播报文发送到所有的目的地。IP 组播在节省通信带宽、
降低服务器和网络负载等方面较单播有许多优越性。
HammerOS 目前支持 IGMP 协议和 PIM-SM 协议，二者配合可以有效支持 IP 组播
应用。其中 IGMP 协议用于获得某个网段上是否有终端设备需要接收某个组的报文，
而 PIM-SM 协议则用于在网络上计算组播路由，建立组播转发路径。
IP 组播又称为三层组播，以区别于二层组播功能。通常交换机做二层转发时，对于
目的 MAC 地址为组播地址的帧只能采用广播方法，将它们转发到所有端口。某些
交换机支持二层组播功能，主要是在二层转发的过程中，通过 IGMP-SNOOPING
等手段获得 IP 组播的某些信息，用有选择的转发代替二层广播，达到优化的目的。
由于 IGMP 本身是三层协议，所以这里对 IGMP 使用称为侦听（SNOOPING）。二
层组播只能应用在终端设备和三层设备之间的二层设备上，适用范围很有限。
三层组播与二层组播的主要区别在于它使用 IP 组播路由协议，从而可以跨越多个三

18-1
第 18 章 配置组播路由协议

层设备，在多个网段之间选择组播转发路由，控制组播数据有效地转发到需要数据
的网段，避免转发到不需要的网段，并可以抑制数据重复转发到一个网段上。
三层组播的上层应用通常包括：视频点播、视频会议、远程教学、电子白板、数据
公告（如股市行情）等。

18.1.2 IGMP协议

IGMP（Internet Group Management Protocol）的功能是管理组播成员信息。该协

议一般运行在组播域中直接与接收者连接的设备上，它动态的建立、维护组播组成
员关系，是组播路由体系中的基础协议。
目前常用的 IGMP 协议有两个版本：IGMP v1 和 IGMP v2。本系统在全面实现 IGMP
v2 的基础上，考虑到向下兼容性问题，可以接收 IGMP v1 的报文，但不发送 IGMP
v1 报文。
IGMP v2 有 3 种主要报文：
Membership Query：是运行 IGMP 协议的查询器发送给组播接收者（主机）的，
根据报文中组播组地址的不同，分为常规查询和特定组查询。
Membership Report：是支持 IGMP 协议的主机向组播路由设备汇报网络上存在
特定组播组的活动成员时使用的报文。本系统支持两种报告报文：版本 1 和版
本 2 的成员报告。
Leave Group：当主机离开一个组播组时，向所有组播路由器发送一个成员离开
报文。

18.1.3 PIM-SM协议

组播路由建立了一条沟通数据源和接收者之间的无环数据传输路径；路由项由两部
分组成：匹配条件和接口信息。匹配条件有三种格式：
（S，G）路由 路由匹配条件为源地址和组地址。
（*，G）路由 路由匹配条件为组地址。
（*，*，RP）路由 路由匹配条件为集中点(RP)地址。
接口信息包括入接口(iif)和出接口列表(oifs)。
所有组播路由协议都使用 RPF(反向路径转发)机制来决定是否转发或者丢弃组播数
据包。当组播数据包到达路由设备时，路由器根据数据包的源地址反向查找单播路

18-2
 第 18 章 配置组播路由协议

由表以确定该数据包是否从正确的接口进入的，如果检查成功则转发，检查失败则
丢弃。
PIM（Protocol Independent Multicast）协议是一种独立于单播路由协议的组播协议，
分为密集模式(Dense Mode)和稀疏模式(Sparse Mode)两种。密集模式适合于组播
源和接收者物理距离近、数据报文流量大而且持续、接收者密度较大的网络，典型
的例子是局域网；稀疏模式适合于组播源和接收者散布在很大地域且带宽有限的网
络中，典型的例子如 Internet。
在 PIM-SM 协议中，每个设备可能充当以下几种角色：DR(指定路由器) 、RP(集中
点)、BSR(启动消息发出者)。在一个网段上的 PIM 设备将通过竞争产生出 DR 来负
责这个网段上的组播数据收发。RP 是一个组播域中公认的中间节点，是 PIM 网络
中共享路径转发树（RPT）的根。对一个特定的组播组 G，必须在整个组播域中映
射到同一个 RP。BSR 是一个组播域中 bootstrap 信息的收集和定期发送者，它接
受来自候选 RP 的候选通告报文，并定期将它掌握的候选 RP 信息向全网公布。在
边界 DR 上，通过运行 IGMP 协议来管理接收者对特定组 G 的加入/退出信息的。
PIM-SM 协议中，通过维护组播域中各个设备上的组播路由表而形成了转发路径树，
可以将转发树分成两类：以集中点 RP 为根的共享路径树(RPT)和以源 DR 为根的最
优树(SPT)。为了优化组播数据包的转发路径，在通信流量达到某个阀值后从共享
路径转发树切换到以源 DR 为根的转发树。本系统中该切换的流量阈值为 0，即只
要有 RPT 数据流到达就会立刻切换到 SPT。
PIM-SM 协议中的主要协议报文有 7 种，包括：
Hello： 运行 PIM-SM 的接口定期发送 Hello，以便与同网段上的 PIM 设备建立
和维持邻居关系；同时通过 PIM 竞争产生本网段的 DR。
Register： 组播源网段内的 DR(简称源 DR)在收到组播服务器发出的组播报文
后，将该报文封装在注册(register)报文中，用单播方式发送给对应于该组的 RP。
Register-Stop：当不需要再用 RPT 转发时，
RP 向源 DR 发送一个 Register-stop
报文，告知源 DR 停止发送 register 报文。
Join/Prune： 是从下游路由器发往源或者 RP 方向的报文，用于将一个接口加
入到组播路径转发树或将一个接口从组播转发树中剪枝。
Bootstrap： 是 BSR 定期向组播域中其他设备通告候选 RP 时使用的报文。
Assert： 在多介质访问网络(如以太网)中，存在一个以上并列的设备，导致其
中一设备的出接口收到组播数据包时，会引发发送断言报文，竞争产生获胜者。
Cand-RP-Adv： 候选 RP 会定期向 BSR 报告其上配置的候选 RP 信息使用的
报文。
PIM-SM 协议的标准过程：起始时，BSR 会在全网上发布候选 RP 信息，以便形成

18-3
第 18 章 配置组播路由协议

全组播域内的 BSR 地址和 RP 映射的一致。

源 DR 将组 G 的组播数据包用 Register
封装，用单播发布给映射到的 RP；接收者会通过 IGMP 协议向 DR 发出对组 G 的
加入请求，DR 使用 Join/Prune 报文向 RP 方向发送加入请求，多个接收者对同一
个组 G 的加入请求就导致共享路径转发树的建立。RP 收到 Register 报文后，不管
有没有关于该组 G 的组播路由，都向源 DR 发送 Register-Stop。当组播数据报到达
接收者后，如果流量达到阀值(本系统为 0，立即切换)，则启动 RPT 到 SPT 的切换。

18.2 配置组播路由协议

18.2.1 IGMP基本配置

在接口上启动 IGMP 有两种方式：同时启动 PIM 等组播协议和 IGMP 协议，或只启

动 IGMP 协议。对于面向只接收组播数据流的最终用户的接口，可以使用 ip igmp
only 命令配置该接口只运行 IGMP，以减少网络复杂度。而 ip pim 命令则在接口上
同时启动了 PIM 和 IGMP。
加入组播组有两种方式：动态和静态加入。动态加入不需配置，通过接收者发送
IGMP Membership Report 实现；静态配置一般是为了保证在特定接口上有一个稳
定的流输出，配置方法是在特定接口下使用 ip igmp static-group 命令。
配置步骤
步骤1 ip multicast-routing 启动组播
步骤2 ip igmp only 在相关的接口上启动IGMP
或
ip pim
步骤3 ip igmp static-group 静态加入组播组

18.2.2 PIM-SM基本配置

在一个组播域中必须保证至少有一个激活的候选 BSR，对每个组播组必须保证至少
存在一个可以映射到的 RP。配置方法是在选定的设备上，在配置模式下运行 ip pim
bsr 和 ip pim rp。
在接口上启动组播有两种方式：同时启动 PIM 等组播协议和 IGMP 协议，或只启动
IGMP 协议。对于面向只接收组播数据流的最终用户的接口，可以使用 ip igmp only
命令配置该接口只运行 IGMP，以减少网络复杂度。而 ip pim 命令则在接口上同时
启动了 PIM 和 IGMP。

18-4
 第 18 章 配置组播路由协议

配置步骤
步骤1 ip multicast-routing 启动组播
步骤2 ip pim bsr 配置BSR和候选RP
ip pim rp
步骤3 ip igmp only 在接口上启动组播
或
ip pim

组播路由的入接口只能是三层板卡端口
注意

18.2.3 配置动态RP发现

PIM-SM 协议支持静态 RP 配置和动态 RP 配置两种模式。由于 RP--组 G 映射关系

是 PIM-SM 协议能否正常工作的一个重要前提，为了保证全组播域映射的一致性，
建议使用动态 RP 发现。
为了支持动态 RP，组播域中至少需要有一个候选 BSR 和至少一个候选 RP。典型
配置如下：

配置步骤
步骤1 在v2接口启动PIM-SM协议
Hammer01(config)# interface v2
Hammer01(config-if)# ip pim sparse-mode
Hammer01(config-if)# exit
步骤2 在运行default接口启动IGMP
Hammer01(config)# interface default
Hammer01(config-if)#ip igmp only
Hammer01(config-if)# exit
步骤3 设备Hammer01的default接口为组播组225.0.0.0/8的候选RP
Hammer01(config)# ip pim rp-candidate default group 225.0.0.0/8
步骤4 v2接口为该组播域中一个候选BSR，计算RP映射时的掩码长度为30，在BSR
选举中优先级为20
Hammer01(config)# ip pim bsr-candidate v2 hash-mask-length 30
priority 20

做为候选 RP 和 BSR 的接口只有处于 UP 状态且启动了组播才

能生效。接口启动组播的方式有两种：在接口模式下视情况运
注意 行 ip igmp only 或 ip pim sparse-mode

18-5
第 18 章 配置组播路由协议

18.3 配置案例

18.3.1 建立组播

单播路由畅通是组播协议正常运行的前提条件，但由于 PIM 协议独立于任何的单播

路由协议，在下面的配置例中将不列出单播路由的配置。

图18-1 建立组播组网图

案例描述
如图 18-1 所示，各个设备的 v25/v26 接口均为三层板卡的接口，具备三层组播转
发功能。Hammer01 做为组播源 DR 出现，Hammer02 做为目的 DR，Hammer03
的两个接口分别作为候选 RP 和 BSR。由于图中 Hammer02 的接口 v2 并不与其他
组播路由器交互，该接口上可以只运行 IGMP 的方式启动组播。
配置步骤
步骤1 Hammer01的配置
Hammer01 (config)# ip multicast-routing
Hammer01 (config)# interface v25

18-6
 第 18 章 配置组播路由协议

Hammer01 (config-if)# ip pim sparse-mode

Hammer01 (config-if)# exit
Hammer01 (config)# interface v3
Hammer01 (config-if)# ip pim sparse-mode
Hammer01 (config-if)# exit
Hammer01 (config)# interface v4
Hammer01 (config-if)# ip pim sparse-mode
Hammer01 (config-if)# exit
步骤2 Hammer02的配置
Hammer02 (config)# ip multicast-routing
Hammer02 (config)# interface v25
Hammer02 (config-if)# ip pim sparse-mode
Hammer02 (config-if)# exit
Hammer02 (config)# interface v26
Hammer02 (config-if)# ip pim sparse-mode
Hammer02 (config-if)# exit
Hammer02 (config)# interface v2
Hammer02 (config-if)# ip igmp only
Hammer02 (config-if)# exit
步骤3 Hammer03的配置
Hammer03 (config)# ip multicast-routing
Hammer03 (config)# interface v25
Hammer03 (config-if)# ip pim sparse-mode
Hammer03 (config-if)# exit
Hammer03 (config)# interface v3
Hammer03 (config-if)# ip pim sparse-mode
Hammer03 (config-if)# exit
Hammer03 (config)# ip pim bsr-candidate v3
Hammer03 (config)# ip pim rp-candidate v25

18.3.2 路由策略

案例描述
现在使用访问控制列表对上例进行控制，假设如下的限制条件：
使源 DR Hammer01 的 v3、v4 接口仅发布组播组为 225.0.0.0/8、源 IP 为
16.1.1.99 的组播报文；
使 Hammer03 的 v25 不能与 23.0.0.0/8 网段内的路由设备建立邻居关系；
使 Hammer03 的 v3 只接受下游设备对组 225.0.3.15 的加入；
使 Hammer02 的 v2 只接受组 225.0.3.15 的成员报告。
配置步骤
步骤1 Hammer01的配置
Hammer01(config)# access-list route sdrgrp_acl permit 225.0.0.0/8
Hammer01(config)# access-list route sdrsrc_acl permit 16.1.1.99/32
Hammer01(config)# interface v3
Hammer01(config-if)# ip pim source-dr-filter group sdrgrp_acl
Hammer01(config-if)# ip pim source-dr-filter source sdrsrc_acl
Hammer01(config-if)# exit
Hammer01(config)# interface v4
Hammer01(config-if)# ip pim source-dr-filter group sdrgrp_acl
Hammer01(config-if)# ip pim source-dr-filter source sdrsrc_acl

18-7
第 18 章 配置组播路由协议

Hammer01(config-if)# exit
步骤2 Hammer03的配置
Hammer03(config)# access-list route neig_acl deny 23.0.0.0/8
Hammer03(config)# access-list route down_acl permit 225.0.3.15/32
Hammer03(config)# interface v25
Hammer03(config-if)# ip pim neighbor-filter neig_acl
Hammer03(config-if)# exit
Hammer03(config)# interface v3
Hammer03(config-if)# ip pim downstream-filter down_acl
步骤3 Hammer02的配置
Hammer02(config)# access-list route igmpgrp_acl permit
225.0.3.15/32
Hammer02(config)# interface v2
Hammer02(config-if)# ip igmp access-group igmpgrp_acl
Hammer02(config-if)# exit

18.4 常用调试功能

18.4.1 debug igmp

应用环境
此命令用来打开 IGMP 调试信息开关。显示 IGMP 报文收发信息或 IGMP 组成员变
化信息。

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用 no debug igmp 命令禁用此功能。

18.4.2 debug pim

应用环境
此命令用来打开 PIM 调试信息开关。

18-8
 第 18 章 配置组播路由协议

为了在终端显示该调试信息，需要执行命令 monitor on。

提示

只有高级用户才可以使用此命令，由于此命令会在命令行上打
印大量信息，占用很多 CPU 资源。因此强烈建议用户，当调试
注意 结束时，一定要用 no debug pim 命令禁用此功能。

18.5 命令参考

18.5.1 clear ip igmp group

clear ip igmp group <A.B.C.D>

命令格式
clear ip igmp group interface <ifname>

命令功能 清除当前的 IGMP 成员。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> IGMP组地址
<ifname> 接口名称，大小写敏感

使用指导 这个命令将清除 IGMP 组成员信息，包括动态获得的和静态配置的。无参

数时表示删除整个 IGMP 成员组。输入组地址时，表示删除所有组地址为
G 的 IGMP 成员组。输入接口名称时，表示删除该接口上的所有 IGMP 成
员组。
在协议的作用下，IGMP 成员组可能很快将得到恢复。

Harbour(config)# clear ip igmp group

配置实例
Harbour(config)# clear ip igmp group 225.1.1.100
Harbour(config)# clear ip igmp group interface v1

show ip igmp group

相关命令
ip igmp static-group

18-9
第 18 章 配置组播路由协议

18.5.2 clear ip mroute

clear ip mroute <A.B.C.D> <A.B.C.D>

命令格式

命令功能 删除组播路由表。

命令模式 配置模式

参数说明 参数 说明
第一个<A.B.C.D> 组地址
第二个<A.B.C.D> 源地址

使用指导 无参数时表示删除整个组播路由表，将停止所有组播路由转发。只输入组
地址时，表示删除所有组地址为指定地址的组播路由项，停止对相关组的
组播转发。输入组地址和源地址时，表示删除一个指定组地址和原地址的
路由。在协议的作用下，路由可能很快得到恢复。

Harbour(config)# clear ip mroute 224.1.1.1 100.1.0.1

配置实例
Harbour(config)# clear ip mroute

show ip mroute
相关命令

18.5.3 debug igmp

debug igmp [packet|member]

命令格式
no debug igmp {[packet|member]}

命令功能 打开 IGMP 调试信息开关。

关闭 IGMP 调试信息开关。

命令模式 配置模式

参数说明 参数 说明
packet 显示IGMP报文收发信息
member 显示IGMP组成员变化信息

默认状态 所有调试开关都关闭。

使用指导 有经验的用户可根据需要打开某些调试开关查看协议运行中输出的调试信
息，帮助分析协议运行状态，解决网络运行问题。

18-10
 第 18 章 配置组播路由协议

Harbour(config)# debug igmp packet

配置实例

monitor
相关命令

18.5.4 debug pim

debug pim [packet

命令格式 [hello|register|join-prune|bootstrap|assert|cand-rp|all] | mrt |
timer ]
no debug pim [packet
[hello|register|join-prune|bootstrap|assert|cand-rp|all] | mrt |
timer ]

命令功能 打开 PIM 调试信息开关。

关闭 PIM 调试信息开关。

命令模式 配置模式

参数说明 参数 说明
packet 显示PIM报文收发信息
hello 显示PIM hello报文收发信息
register 显示PIM register报文收发信息
join-prune 显示PIM join-prune报文收发信
息
bootstrap 显示PIM bootstrap报文收发信
息
assert 显示PIM assert报文收发信息
cand-rp 显示PIM cand-rp报文收发信息
all 显示PIM所有报文收发信息
mrt 显示组播路由表更新信息
timer 显示PIM协议中定时器事件信息

默认状态 所有调试开关都关闭。

使用指导 有经验的用户可根据需要打开某些调试开关查看协议运行中输出的调试信
息，帮助分析协议运行状态，解决网络运行问题。

Harbour(config)# debug pim packet join-prune

配置实例

monitor
相关命令

18-11
第 18 章 配置组播路由协议

18.5.5 ip igmp access-group

ip igmp access-group <access_list>

命令格式
no ip igmp access-group

命令功能 用访问列表控制特定组播组的成员报告。
No 命令用于清除该过滤策略。

命令模式 接口配置模式

参数说明 参数 说明
<access_list> 访问列表的名称

默认状态 本设备不过滤，即接收所有组播组的成员报告。

使用指导 在组播域的边缘路由设备的特定接口上启动该过滤机制后，会对接收到的
IGMP 成员报告报文进行过滤，以保证接受或不接受特定范围内的组播组
成员报告。

配置实例 通过使用访问列表 igmpgrp_acl 使得源 DR 的接口 v2 仅接收组地址范围为

226.0.0.0～226.255.255.255 的组成员报告：
Harbour(config)# access-list route igmpgrp_acl permit 226.0.0.0/8
Harbour(config)# interface v2
Harbour(config-if)# ip pim access-group igmpgrp_acl

access-list route
相关命令

18.5.6 ip igmp member-timeout

ip igmp member-timeout <1-65535>

命令格式
no ip igmp member-timeout

命令功能 设置 IGMP 成员超时时间。

No 命令用于将成员超时时间恢复成默认值。

命令模式 配置模式

参数说明 参数 说明
<1-65535> 成员超时时间，单位：秒

默认状态 成员超时时间缺省为 260 秒。

18-12
 第 18 章 配置组播路由协议

使用指导 按协议规定，成员超时时间为：可靠系数*查询间隔+响应时间，缺省为
2*125+10 秒，即 260 秒。
查询间隔是可以配置的。当查询时间被修改后，成员超时
时间会按这个公式重新计算，可能会不再是原来配置的成
注意 员超时时间。

Harbour(config)# ip igmp member-timeout 300

配置实例

ip igmp querier-timeout
相关命令
ip igmp query-interval

18.5.7 ip igmp packet

check-route-alert-opt

ip igmp packet check-route-alert-opt

命令格式
no ip igmp packet check-route-alert-opt

命令功能 设置对接收到的 IGMP 报文是否检查 route-alert 选项。

No 命令取消对 route-alert 选项的检查。

命令模式 配置模式

默认状态 默认情况下检查 route-alert 选项。

Harbour(config)# no ip igmp packet check-route-alert-opt

配置实例

18.5.8 ip igmp query-interval

ip igmp query-interval <1-65535>

命令格式
no ip igmp query-interval

命令功能 配置 IGMP 查询间隔。

No 命令将 IGMP 查询间隔恢复成默认值。

命令模式 配置模式

参数说明 参数 说明
<1-65535> IGMP查询间隔，单位：秒

18-13
第 18 章 配置组播路由协议

默认状态 IGMP 查询间隔缺省为 125 秒。

使用指导 IGMP 查询间隔是协议的一个重要参数，它控制着 IGMP 发出查询的频率，

同时也影响其他一些系统时间参数，如成员超时时间为：可靠系数*查询间
隔+响应时间，查询者超时时间为：可靠系数*查询间隔+响应时间/2。

Harbour(config)# ip igmp query-interval 100

配置实例

ip igmp member-timeout
相关命令
ip igmp querier-timeout

18.5.9 ip igmp querier-timeout

ip igmp querier-timeout <60-300>

命令格式
no ip igmp querier-timeout

命令功能 配置 IGMP 查询者超时时间。

No 命令用于将 IGMP 查询者超时时间恢复成默认值。

命令模式 配置模式

参数说明 参数 说明
<60-300> IGMP查询者超时时间，单位：秒

默认状态 IGMP 查询者超时时间缺省为 255 秒。

使用指导 IGMP 查询者超时时间用于网段上有多个 IGMP 路由器时，它们之间要竞

争由谁发出 IGMP 查询报文。竞争结果的有效时间就是这个查询者超时时
间。即非查询者路由器过了这么长时间没有收到查询报文，就会认为查询
者已经退出，将再次发出查询报文，并以此竞争查询者。
按协议规定，查询者超时时间为：可靠系数*查询间隔+响应时间/2，缺省
为 2*125+10/2 秒，即 255 秒。
查询间隔是可以配置的。当查询时间被修改后，查询者超
时时间会按这个公式重新计算，可能会不再是原来配置的
注意 查询者超时时间。

Harbour(config)# ip igmp querier-timeout 200

配置实例

ip igmp member-timeout
相关命令
ip igmp query-interval

18-14
 第 18 章 配置组播路由协议

18.5.10 ip igmp static-group

ip igmp static-group <A.B.C.D>

命令格式
no ip igmp static-group <A.B.C.D>

命令功能 在接口上配置 IGMP 静态成员。

No 命令用于删除该静态成员。

命令模式 接口配置模式

参数说明 参数 说明
<A.B.C.D> 组地址

默认状态 无静态成员。

使用指导 必要时可以在接口上配置静态的 IGMP 成员，它不会因超时而被删除。

例如需要保证一个稳定的流输出，或用于简便的系统测试。

Harbour(config-if)# ip igmp static-group 224.1.1.1

配置实例

show ip igmp group

相关命令

18.5.11 ip multicast-routing

ip multicast-routing
命令格式
no ip multicast-routing

命令功能 启动三层组播转发功能。
其对应的 no 命令停止组播路由协议。

命令模式 配置模式

默认状态 三层组播转发功能未启动。

使用指导 在启动组播路由协议或 IGMP 协议之前，要先通过这个命令启动组播转发

功能。

ip pim sparse-mode
相关命令
ip igmp only

18-15
第 18 章 配置组播路由协议

18.5.12 ip pim bsr-border

ip pim bsr-border
命令格式
no ip pim bsr-border
no ip pim bsr-candidate

命令功能 配置相应接口为 PIM Bootstrap 消息的边界。

No 命令用于取消该设置。

命令模式 接口配置模式

默认状态 该接口不作为 PIM Bootstrap 边界，即转发 Bootstrap 消息。

使用指导 将一个接口配置为 BSR 边界后，Bootstrap 消息就不穿过该接口转发，但

其它组播报文仍然可以穿越。

18.5.13 ip pim bsr-candidate

ip pim bsr-candidate <interface> { hash-mask-length <0-32> priority

命令格式 <0-255>}
no ip pim bsr-candidate

命令功能 配置本设备为候选 BSR。

No 命令用于取消该设置。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<interface> 选择候选BSR IP地址的接口名称 ——
<0-32> BSR计算RP映射时的掩码长度 0
<0-255> 候选BSR竞争BSR的优先级 0（最小）

默认状态 本设备不作为候选 BSR。

使用指导 BSR（Bootstrap Router）是 PIM 网络中的启动消息（bootstrap）发出者。

在 PIM 网络中必须存在一个唯一的 BSR 设备。 它接受候选 RP 的消息通告，
并发出 bootstrap 把当前的 RP 表通知给域中的所有路由器。
在 PIM 网络中，必须通过这个命令配置至少一个候选 BSR。

Harbour(config)# ip pim bsr-candidate v2

配置实例
Harbour(config)# ip pim bsr-candidate v2 hash-mask-length 24 priority

18-16
 第 18 章 配置组播路由协议

20

ip pim rp-candidate
相关命令

18.5.14 ip pim downstream-filter

ip pim downstream-filter <access_list>

命令格式
no ip pim downstream-filter

命令功能 用访问列表控制下游设备加入特定组播组。
No 命令用于清除该过滤策略。

命令模式 接口配置模式

参数说明 参数 说明
<access_list> 访问列表的名称

默认状态 本设备不过滤，即接受来自下游的所有组播组的加入请求。

使用指导 在特定的接口上启动该过滤机制，可以对收到的 PIM Join/Prune 报文中的

组播组进行过滤，以确定接受或者拒绝特定范围内的组。

配置实例 使用访问列表 down_acl 使接口 v2 仅接受下游设备对 226.0.0.0～

226.255.255.255 范围内组播组的加入：
Harbour(config)# access-list route down_acl permit 226.0.0.0/8
HammerOS (config)# interface v2
HammerOS (config-if)# ip pim downstream-filter down_acl

access-list route
相关命令

18.5.15 ip pim dr-priority

ip pim dr-priority <0-4294967294>

命令格式
no ip pim dr-priority

命令功能 配置接口上的 DR 优先级。

No 命令用于取消该设置。

命令模式 接口配置模式

参数说明 参数 说明
<0-4294967294> DR优先级
18-17
第 18 章 配置组播路由协议

<0-4294967294> DR优先级

默认状态 DR 优先级缺省为 0（最小）。

使用指导 一个网段上有多个 PIM 路由器时，通过发送 hello 报文竞争 DR。竞争成功

的 DR 将负责这个网段上的用户数据收发。竞争 DR 的原则是：首先按照
优先级次序，高优先级路由器成功；对于 DR 优先级相同的路由器，将根
据协议选择接口 IP 地址最大的作为 DR。

Harbour(config)# ip pim dr-priority 100

配置实例

show ip pim interface

相关命令

18.5.16 ip pim message-interval

ip pim message-interval <1-65535>

命令格式
no ip pim message-interval

命令功能 配置 PIM 的 JOIN-PRUNE 消息发送间隔。

No 命令用于将 JOIN-PRUNE 消息发送间隔恢复成默认值。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<1-65535> JOIN-PRUNE消息发送间 60
隔，单位：秒

使用指导 必要时可以修改 PIM 的 JOIN-PRUNE 消息发送间隔。该命令的配置直接

影响网络负载和协议性能，建议使用默认值，如需配置请谨慎考虑。

Harbour(config)# ip pim message-interval 40

配置实例

ip pim query-interval
相关命令

18.5.17 ip pim neighbor-filter

ip pim neighbor-filter <access_list>

命令格式
no ip pim neighbor-filter

命令功能 用访问列表控制与邻接设备建立邻居关系。

18-18
 第 18 章 配置组播路由协议

No 命令用于清除该过滤策略。

命令模式 接口配置模式

参数说明 参数 说明
<access_list> 访问列表的名称

默认状态 本设备不过滤，即可与任一相连组播路由器建立邻居关系。

使用指导 特定的接口上启动该过滤机制，可以对收到的 PIM Hello 报文进行过滤，

以确定接受或者拒绝与特定范围内的邻接设备建立邻居关系。

配置实例 通过使用访问列表 neig_acl 使得接口 v2 仅与 IP 地址在 16.0.0.0～

16.255.255.255 范围内的组播路由设备建立邻居关系：
Harbour(config)# access-list route neig_acl permit 16.0.0.0/8
Harbour(config)# interface v2
Harbour(config-if)# ip pim neighbor-filter neig_acl

access-list route
相关命令

18.5.18 ip pim query-interval

ip pim query-interval <1-18724 >

命令格式
no ip pim query-interval

命令功能 配置相应接口的 PIM HELLO 消息发送间隔。

No 命令用于将该接口的 PIM HELLO 消息发送间隔恢复成默认值。

命令模式 接口配置模式

参数说明 参数 说明 缺省配置
<1-18724 > HELLO消息发送间隔，单位：秒 30

使用指导 必要时可以修改接口的 PIM HELLO 消息发送间隔。该命令的配置直接影

响网络负载和协议性能，建议使用默认值，如需配置请谨慎考虑。

Harbour(config)# interface v2
配置实例
Harbour(config-if)# ip pim query-interval 25

ip pim message-interval
相关命令

18-19
第 18 章 配置组播路由协议

18.5.19 ip pim rp-address

ip pim rp-address <A.B.C.D> {group <A.B.C.D/M> [priority <0-254>|

命令格式 override ]}
no ip pim rp-address <A.B.C.D> {group <A.B.C.D/M>}

命令功能 配置静态 RP 地址。

No 命令用于取消该 RP 设置。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<A.B.C.D> 静态RP地址 ——
<A.B.C.D/M> RP可以负责的组地址范围 224.0.0.0/4（所有组）
<0-254> 静态RP的优先级 0（最高）
override 覆盖bootstrap消息申明的RP表 ——

默认状态 无静态 RP。

使用指导 RP（Rendezvous Point）是 PIM 网络中共享树转发路径（RPT）的根节

点。在 PIM 网络中必须存在一个唯一的 RP 设备。它接受源 DR 发来的
REGISTER 报文，并将数据沿共享树向下转发。每个边缘 PIM 路由器收到
IGMP 请求后，都会向 RP 发送组加入报文，请求接收对应组的数据流。
在 PIM 网络中，必要时可以通过这个命令配置一个或多个静态的 RP 地址。

Harbour(config)# ip pim rp-address 100.1.0.1 group 224.0.0.0/4

配置实例

ip pim bsr-candidate
相关命令
ip pim rp-address

18.5.20 ip pim rp-candidate

ip pim rp-candidate <interface> {group <A.B.C.D/M>}

命令格式
no ip pim rp-candidate <interface> {group <A.B.C.D/M>}

命令功能 配置本机为 PIM 候选 RP。

No 命令用于取消该 RP 设置。

命令模式 配置模式

参数说明 参数 说明 缺省配置

18-20
 第 18 章 配置组播路由协议

<interface> 选择候选RP IP地址的接口名称 ——

<A.B.C.D/M> RP可以负责的组地址范围 224.0.0.0/4（所有组）

默认状态 本机不作为候选 RP。

使用指导 RP（Rendezvous Point）是 PIM 网络中共享路径转发树（RPT）的根节

点。在 PIM 组播域中对特定组必须存在一个唯一的 RP 设备。它接受源 DR
发来的 REGISTER 报文，并将数据沿共享树向下转发。每个边缘 PIM 路
由器收到 IGMP 请求后，都会向 RP 发送组加入报文，请求接收对应组的
数据流。
在 PIM 协议中，为了优化数据流路径，可以在通信流量达到某个阀值后从
共享路径转发树切换到以源 DR 为根的转发树（SPT）。本软件中这个切换
的流量阈值为 0，即只要有 RPT 数据流到达就会立刻切换到 SPT。在与其
他厂商设备互联时可能需要设置它们的切换流量阈值为 0。在 PIM 网络中，
必须通过这个命令配置至少一个候选 RP。

Harbour(config)# ip pim rp-candidate v2

配置实例

ip pim bsr-candidate
相关命令
ip pim rp-address

18.5.21 ip pim sparse-mode

ip pim sparse-mode
命令格式
no ip pim sparse-mode

命令功能 启动和停止 PIM-SM 协议。

命令模式 接口配置模式

默认状态 不启动 PIM 协议。

使用指导 将接口加入 3 层组播转发有两种方式：启动 PIM 等组播协议和 IGMP，或

只启动 IGMP 协议。本命令在对应的接口上启动 PIM-SM 协议和 IGMP 协
议。
使用 PIM 协议必须通过此命令在至少 1 个接口上启动 PIM 协议。
在配置这个命令前，必须先用 ip multicast-routing 命令启动组播转发。

Harbour(config-if)# ip pim sparse-mode

配置实例

18-21
第 18 章 配置组播路由协议

ip multicast-routing
相关命令
ip igmp only

18.5.22 ip pim source check-ignore

ip pim source <A.B.C.D> <IFNAME> check-ignore

命令格式
no ip pim source <A.B.C.D> <IFNAME> check-ignore

命令功能 在接口上配置多播源地址时不作严格检查。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 多播源IP地址
<IFNAME> 指定接口名字

使用指导 此命令只用于对特定的多播源地址不在接口直连路由的网段内，而把此源
地址直接当作直连的源对待时使用。通过使用此命令可以实现对指定接口
上的特定多播源地址不作合法性或 RPF 检查，而直接当作直连的源对待，
同时此路由器成为对应于这个组播源的 DR。此命令需要与扩展 ARP 代理
和直连路由配合使用来实现组播的特殊应用。

扩展 ARP 代理和直连路由可参考“配置 VLAN”一章。

提示

配置实例 配置 RTA 为接口 vlan1 上多播源 10.5.1.11 的 DR：

RTA(config)# create vlan vlan1
RTB(config)# config vlan vlan1 ipaddress 10.5.2.1/24
RTA(config)# ip pim source 10.5.1.11 vlan1 check-ignore

相关命令 配置扩展 ARP 代理和直连路由的命令位于“配置 VLAN”一章：

config ext-proxy-arp <vlanname> [enable|disable]
ip route <A.B.C.D/M> <interface_name>

18.5.23 ip pim source-dr-filter group

ip pim source-dr-filter group <access_list>

命令格式
no ip pim source-dr-filter group

命令功能 在源 DR 上，用访问列表控制发布特定组地址的组播数据包。
No 命令用于清除该过滤策略。

18-22
 第 18 章 配置组播路由协议

命令模式 接口配置模式

参数说明 参数 说明
<access_list> 访问列表的名称

默认状态 本设备不过滤，即发布所有组地址的组播数据包。

使用指导 在源 DR 的特定的接口上启动该过滤机制，在发布组播数据报文时进行过
滤，以保证发布或不发布组播组地址在特定范围内的组播数据包。

配置实例 通过使用访问列表 sdrgrp_acl 使得源 DR 的接口 v2 仅发送组地址范围为

226.0.0.0～226.255.255.255 的组播数据包：
Harbour(config)# access-list route sdrgrp_acl permit 226.0.0.0/8
Harbour(config)# interface v2
Harbour(config-if)# ip pim source-dr-filter group sdrgrp_acl

access-list route
相关命令

18.5.24 ip pim source-dr-filter source

ip pim source-dr-filter source <access_list>

命令格式
no ip pim source-dr-filter source

命令功能 在源 DR 上，用访问列表控制发布特定源地址的组播数据包。
No 命令用于清除该过滤策略。

命令模式 接口配置模式

参数说明 参数 说明
<access_list> 访问列表的名称

默认状态 本设备不过滤，即发布所有源的组播数据包。

使用指导 在源 DR 的特定的接口上启动该过滤机制，在发布组播数据报文时进行过
滤，以保证发布或不发布源地址在特定范围内的组播数据包。

通过使用访问列表sdrsrc_acl使得源DR的接口v2仅发送源地址范围为16.0.0.0～
配置实例
16.255.255.255的组播数据包。
Harbour(config)# access-list route sdrsrc_acl permit 16.0.0.0/8
Harbour(config)# interface v2
Harbour(config-if)# ip pim source-dr-filter source sdrsrc_acl

18-23
第 18 章 配置组播路由协议

access-list route
相关命令

18.5.25 show debug igmp

show debug igmp

命令格式

命令功能 显示已经打开的 IGMP 调试信息开关。

命令模式 配置模式

Harbour(config)# show debug igmp

配置实例

18.5.26 show debug pim

show debug pim

命令格式

命令功能 显示已经打开的 PIM 调试信息开关。

命令模式 配置模式

Harbour(config)# show debug pim

配置实例

18.5.27 show ip igmp group

show ip igmp group {<ifname>}

命令格式
show ip igmp group <A.B.C.D>

命令功能 显示 IGMP 当前的组成员信息。

命令模式 配置模式

参数说明 参数 说明
<ifname> 接口名称
<A.B.C.D> 组成员IP地址

使用指导 此命令显示内容包括 IGMP 协议收到的组成员加入信息，以及通过静态组

成员配置命令加入的成员信息。静态信息无论目前是否生效都可以显示，
并说明了当前状态。如果不使用参数，则显示当前的所有 IGMP 成员信息。
如果输入接口名称参数，则显示该接口上的当前 IGMP 成员信息。

18-24
 第 18 章 配置组播路由协议

Harbour(config)# show ip igmp group

配置实例

ip igmp static-group
相关命令

18.5.28 show ip igmp timers

show ip igmp timers

命令格式

命令功能 显示 IGMP 协议中定时器的默认值和当前值。

命令模式 配置模式

使用指导 IGMP 协议中有三个重要的定时器：IGMP 查询者超时、IGMP 成员超时和

IGMP 查询间隔。此命令显示了三个定时器的默认值和当前值，时间单位
是秒。

Harbour(config)# show ip igmp group

配置实例

ip igmp member-timeout
相关命令
ip igmp querier-timeout
ip igmp query-interval

18.5.29 show ip mroute

show ip mroute summary

命令格式

命令功能 显示组播路由表。

命令模式 配置模式

参数说明 参数 说明
summary 按种类统计路由数量

使用指导 此命令可显示组播路由表的内容。组播路由是组播路由协议和 IGMP 协议

运行的结果，用于指示组播报文的转发。不带参数则显示所有的组播路由
项和按种类统计路由数量；输入参数 summary 则按种类统计路由数量。

18-25
第 18 章 配置组播路由协议

18.5.30 show ip pim bsr-router

show ip pim bsr-router

命令格式

命令功能 显示 PIM 协议的 BSR 选择信息，包括当前采用的 BSR 地址、优先级、RP

映射掩码等信息。

命令模式 配置模式

Harbour(config)# show ip pim bsr-router

配置实例

ip pim bsr-candidate
相关命令

18.5.31 show ip pim interface

show ip pim interface {<ifname>}

命令格式

命令功能 显示运行 PIM 的接口信息。

命令模式 配置模式

参数说明 参数 说明
<ifname> 接口名称

使用指导 不带参数时，将显示所有的 PIM 接口信息；带接口名称参数时，显示特定

接口的 PIM 信息。

Harbour(config)# show ip pim interface

配置实例

show ip multicast interface

相关命令

18.5.32 show ip pim neighbor

show ip pim neighbor {<ifname> }

命令格式

命令功能 显示 PIM 邻居信息。

命令模式 配置模式

18-26
 第 18 章 配置组播路由协议

参数说明 参数 说明
<ifname> 接口名称

使用指导 此命令显示协议当前已经获得的 PIM 邻居情况。PIM 邻居是通过 HELLO

报文发现的。
不带参数时，将显示所有的 PIM 邻居信息；带接口名称参数时，显示特定
接口上的 PIM 邻居。

show ip multicast interface

相关命令
show ip pim interface

18.5.33 show ip pim rp

show ip pim rp
命令格式

命令功能 显示当前获得的 RP 列表，包括 RP 地址、管理的组地址范围、来源、超时

时间等。

命令模式 配置模式

Harbour(config)# show ip pim rp

配置实例

ip pim rp-candidate
相关命令
show ip pim rp-hash

18.5.34 show ip pim rp-candidate

show ip pim rp-candidate

命令格式

命令功能 显示当前候选 RP 列表。

命令模式 配置模式

使用指导 可以在候选 RP 或 BSR 上通过显示本设备上已配置的候选 RP 信息。

Harbour(config)# show ip pim rp-candidate

配置实例

ip pim rp-candidate
相关命令
show ip pim rp

18-27
第 18 章 配置组播路由协议

18.5.35 show ip pim rp-hash

show ip pim rp-hash <A.B.C.D>

命令格式

命令功能 查询一个组的 RP 映射结果。

命令模式 配置模式

使用指导 可通过命令计算任意一个组的 RP 映射，了解系统中对 RP 的选择。

Harbour(config)# show ip pim rp-hash 224.1.1.1

配置实例

ip pim rp-candidate
相关命令
show ip pim rp

18.5.36 show ip rpf

show ip rpf <A.B.C.D>

命令格式

命令功能 显示组播源的 RPF 信息。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> 组播源IP

18-28
 第 19 章 配置 QoS

19 第19章 配置 QoS

19.1 概述

QoS（Quality of Service）指 IP 的服务质量，也就是 IP 数据流通过网络时的性能，

它的目的是向用户业务提供端到端的服务质量保证。它有一套度量指标，包括业务
可用性、延迟、可变延迟、吞吐量和丢包率。QoS 在可预测、可测量性方面比传统
IP 有了很大提高，基本解决了商业用户的需求，因而可以吸引更多的商业用户，形
成一个新的利润增长点，带来可增值的业务种类。另外， QoS 还带来了更高效的
带宽使用率等。因此可以说 QoS 将是今后一段时间促进 IP 网络增长的关键技术。
不同的应用有不同的 QoS 需求，如语音、图像对抖动和时延敏感，则要求保证带宽
和高的优先级；数据和文件传输则对时延不敏感，则可在保证带宽的前提下采用较
低的优先级。系统支持严格优先级 SP（Strict Priority）和加权轮循优先级 WRR
（Weighted Round Robin）两种调度策略。
严格优先级调度机制 SP：严格按优先级的高低从队列中提取转发数据，高优先
级队列的数据没有清空之前，不转发低优先级队列中的数据。
加权轮询调度机制 WRR：可以设置以包为单位的 Low，Normal，Medium，High
的权重比例，按比例轮循 4 个队列。
目前版本的 QoS 功能只支持 CoS 队列优先级调度和 802.1p 及基于 MAC、PORT、
VLAN、ACL 的优先级之间的映射。CoS 队列优先级调度可以分为三个过程：对数
据包进行分类；指定不同的优先级队列；得到不同的服务质量（按优先级转发）。

QoS 优先级顺序

配置 QoS 命令优先级的顺序从低到高为：基于 MAC < PORT 重映射< 报文自带的

优先级 < 基于 VLAN < 基于 ACL。
所以如果先配有优先级高的 QoS 策略，再配置低的策略，低的策略将不会发生作用，
所以建议在配置 QoS 之前需要全局考虑，避免实际功能与设计中的不一样。

19-1
第 19 章 配置 QoS

区别服务（DiffServ）

QoS 功能提供针对 IPv4 包的区别服务（DiffServ），该服务主要应用 IPv4 报头字段

中的 DSCP 域，可以向用户提供以下服务：
重写 IPv4 数据流中的 DSCP 值
根据 IPv4 数据包中的 DSCP 值，映射到本地的转发优先级队列中，实现转发优
先排序
目前版本支持的 DiffServ 方式有以下三种：
基于 PORT 的 DiffServ
基于 VLAN 的 DiffServ
基于 ACL 的 DiffServ

服务类型（ToS）

QoS 可以根据以下规则重写 IPv4 数据流的 ToS 域：

基于 VLAN 重写 ToS 域
基于 ACL 重写 ToS 域
系统支持基于端口（入口和出口）的带宽限制，百兆口粒度为 1M，千兆口粒度为 8
兆。

19.2 配置QoS

19.2.1 基于MAC的优先级配置

为创建静态 FDB 表项的命令添加优先级参数，则以此 MAC 地址为源 MAC 的数据

包会根据配置的 802.1p 优先级来选择 CoS 队列。

配置案例

步骤1 配置基于MAC的优先级
Harbour(config)#create fdbentry 001122334455 vlan default port 5
priority 7
步骤2 查看配置信息

19-2
 第 19 章 配置 QoS

Harbour(config)#show qos mac

****************************MAC
Qos*******************************
MAC address Port VLAN name Priority
00:11:22:33:44:55 5 default 7

19.2.2 基于PORT的优先级配置

通过设置相应端口重新映射 priority 的值改变端口对 802.1p 优先级的重新映射。则

从此端口接收的数据包根据配置的 802.1p 优先级来选择 CoS 队列。

配置案例

步骤1 使能端口到802.1p优先级的重新映射功能
Harbour(config)#config port 1 remap-priority on

步骤2 配置端口到802.1p优先级的重新映射
Harbour(config)#config port 1 remap-priority 6

步骤3 查看配置情况
Harbour(config)#show qos port

****************************Port
Qos*******************************
Port: 1's 802.1p priority is 6.

19.2.3 基于ACL的优先级配置

通过修改 ACL 策略的优先级属性来实现基于 ACL 的数据流优先级的重新映射。则

匹配该 ACL 策略的数据流的 802.1p 优先级被配置的优先级取代，
转发到相应的 CoS
队列。

配置步骤

步骤1 config acl priority 通过修改ACL策略的优先级属性来实现基于

ACL的数据流优先级的重新映射
步骤2 show qos acl 查看配置信息

19-3
第 19 章 配置 QoS

配置案例

步骤1 配置基于ACL的优先级
Harbour(config)#config acl test priority 6

步骤2 查看配置信息
Harbour(config)#show qos acl

****************************Acl
Qos*******************************
ACL : test's 802.1p priority is 6.

19.2.4 基于VLAN的优先级配置

通过改变 VLAN 的优先级属性来实现属于某一个 VLAN 的数据流的优先级的重新映

射。属于该 VLAN 的数据流的 802.1p 优先级被配置的优先级取代，转发到相应的
CoS 队列。

配置步骤

步骤1 config vlan priority 配置基于VLAN的优先级

步骤2 show qos vlan 查看配置信息

配置案例

步骤1 配置基于VLAN的优先级
Harbour(config)#config vlan test priority 7

步骤2 查看配置信息
Harbour(config)#show qos vlan

****************************VLAN
Qos*******************************
VLAN: test's 802.1p priority is 7.

19.2.5 DiffServ相关配置

IP 包头中的 ToS（Type Of Service）域代表了相应的服务类型。DiffServ 将 8 位 ToS

字段重新命名，作为 DS (DifferServer)字段，利用前 6 位做为 DSCP（ DifferServer
CodePoint）域，这个域的值我们称为 codepoint，交换机可以使用这个域进行包服

19-4
 第 19 章 配置 QoS

务类型的区分。在交换机中可以实现根据服务的级别对于包重写 DSCP 域，或者根

据 DSCP 域来进行 QoS 的区分，实现区别服务。DiffServ 的配置用于处理 IPv4 首
部的 DSCP 域，内容包括：
1．重写 IPv4 报文首部中的 DSCP 域

基于进入特定端口 IPv4 报文 DSCP 域的重写

基于特定 VLAN 的 IPv4 报文 DSCP 域的重写
基于特定 ACL 的 IPv4 报文 DSCP 域的重写
2．映射不同的 DSCP 值到 802.1p 定义的优先级，使得带有不同的 DSCP 值的 IPv4
报文得到不同的发送优先级别。是否进行优先级映射可由用户选择配置。

DiffServ 配置步骤

步骤1 service qos enable 使能QoS服务

步骤2 config dscp to-802.1p map 配置differv每一段dscp codepoint值到
codepoint priority 802.1p优先级的映射关系
步骤3 config dscp enable 启动DiffServ服务
步骤4 config dscp to-802.1p [on|off] 打开DiffServ优先级映射功能

19.2.6 ToS相关配置

IP 包头中的 ToS（Type Of Service）域代表了相应的服务类型。在交换机中可以使

用这个域进行包服务类型的区分，可以根据以下规则来重写该域的值：
基于特定 VLAN 的 IPv4 报文 ToS 域的重写
基于特定 ACL 的 IPv4 报文 ToS 域的重写
表19-1 ToS 相关配置常用命令
config tos [enable|disable] 启动或关闭ToS服务
config acl <name> tos_p <0-7> 配置基于ACL的ToS
config vlan <name> tos_p <1-7> 配置基于VLAN的ToS
show tos_p [vlan|acl|all] 查看ToS配置信息

19-5
第 19 章 配置 QoS

19.2.7 带宽限制

1. 基于端口的带宽限制

配置步骤

步骤1 config port bandwidth 配置指定端口的入口/出口带宽和漏桶大小

步骤2 show bandwidth port 查看端口的带宽限制

配置案例

步骤1 配置端口的入口带宽限制
Harbour(config)#config port 3 bandwidth input 20

步骤2 配置端口的出口带宽限制
Harbour(config)#config port 3 bandwidth output 20

步骤3 查看端口的带宽限制信息
Harbour(config)#show bandwidth port 3

port 3 bandwidth input 20

port 3 bandwidth output 20

2. 基于 ACL 的带宽限制

配置步骤

步骤1 service acl enable 使能ACL

步骤2 create acl 创建ACL
步骤3 create meter 创建METER
步骤4 config acl meter 绑定指定的ACL和指定的METER。
步骤5 show meter 显示指定的ACL和METER的绑定情况。
步骤6 show acl meter 显示指定的或所有的METER。

19-6
 第 19 章 配置 QoS

19.3 命令参考

19.3.1 config acl dscp

config acl <name> dscp <0-63>

命令格式
no acl <name> dscp

命令功能 配置基于 ACL 的 dscp。

去除 ACL 的 dscp 属性。

命令模式 配置模式

Harbour(config)#config acl acl_1 dscp 24

配置实例
Harbour(config)#no acl acl_1 dscp

19.3.2 config acl meter

config acl <name> meter <name>

命令格式

命令功能 绑定指定的 ACL 和指定的 METER。

命令模式 配置模式

参数说明 参数 说明
acl <name> ACL名称
meter <name> METER名称

使用指导 不要把多个 ACL 绑定到相同的 METER 上，这样在多个 ACL 存在流量的

情况下，限制会很不准确，系统在配置上不做检查，用户自行判断。
这里的 ACL 配置应当是 permit，否则配置没有意义，程序中不做检查，用
户自行判断。

config acl a_1 meter m_1

配置实例

no acl meter
相关命令
show acl meter

19-7
第 19 章 配置 QoS

19.3.3 config acl priority

config acl <name> priority <0-7>

命令格式

命令功能 通过修改 ACL 策略的优先级属性来实现基于 ACL 的数据流优先级的重新

映射。

命令模式 配置模式

参数说明 参数 说明
<name> ACL策略名称
<0-7> 优先级

使用指导 匹配该 ACL 策略的数据流的 802.1p 优先级被配置的优先级取代，转发到

相应的 CoS 队列。

no acl priority
相关命令
show acl priority

19.3.4 config acl tos_p

config acl <name> tos_p <0-7>

命令格式
no acl <name> top_p

命令功能 配置基于 ACL 的 ToS，重写匹配该 ACL 项的 IP 数据的 ToS 域。

取消 ACL 的 ToS 属性。

命令模式 配置模式

Harbour(config)#config acl acl_1 tos_p 5

配置实例
Harbour(config)#no acl acl_1 tos_p

19.3.5 config dscp [enable|disable]

config dscp [enable|disable]

命令格式

命令功能 启动或关闭 DiffServ 服务。

命令模式 配置模式

19-8
 第 19 章 配置 QoS

参数说明 参数 说明
[enable|disable] 启动或关闭

默认状态 默认状态下，DiffServ 服务启动时同时打开 differv 优先级映射功能。

Harbour(config)#config dscp enable

配置实例

19.3.6 config dscp to-802.1p

config dscp to-802.1p [on|off]

命令格式

命令功能 打开或关闭 DiffServ 优先级映射功能。

命令模式 配置模式

参数说明 参数 说明
[on|off] 打开或关闭

使用指导 DiffServ 优先级映射功能打开时，交换机将根据 IPV4 数据流的 DSCP 值，

将其映射到不同的本地优先级转发队列中去，从而得到不同级别的发送优
先服务；DiffServ 优先级映射功能关闭时，交换机不进行优先级映射，具
有不同 DSCP 值的 IPV4 数据流在本地的转发优先级没有高低之分。

Harbour(config)#config dscp to-802.1p on

配置实例

19.3.7 config dscp to-802.1p map

codepoint priority

config dscp to-802.1p map codepoint

命令格式 [0-7|8-15|16-23|24-31|32-39|40-47|48-55|56-63] priority <0-7>

命令功能 配置 differv 每一段 dscp codepoint 值到 802.1p 优先级的映射关系。

命令模式 配置模式

参数说明 参数 说明
[0-7|8-15|16-23|24-31|32-3 dscp codepoint值
9|40-47|48-55|56-63]
<0-7> 802.1p优先级

19-9
第 19 章 配置 QoS

默认状态 dscp codepoint 值到 802.1p 优先级的映射关系的默认配置为：

dscp codepoint 802.1pri
0-7 0
8-15 1
16-23 2
23-31 3
32-39 4
40-47 5
48-55 6
56-63 7

Harbour(config)#dscp to-802.1p map codepoint 16－23 priority 2

配置实例

19.3.8 config mac dot1x

authcontrolledmaccontrol

config mac <mac_addr> <mac_mask> dot1x authcontrolledmaccontrol

命令格式 [auto|forceauth]

命令功能 控制带有该 VLAN 标志的报文需不需要端口通过认证后才能被转发。

命令模式 配置模式

参数说明 参数 说明
<mac_addr> mac地址和Mac段掩码
<mac_mask>
auto 在启动dot1x功能的前提下，端口未通过认证的情况下，对源
mac为任何值的报文都不转发，此为默认状态
forceauth 在启动dot1x功能的前提下，无论端口认证状态如何，对源mac
为指定的mac或mac段的报文进行转发

19.3.9 config port bandwidth

config port [<portlist>|all] bandwidth [input|output] <0-127>

命令格式 {bucketsize [smallest|small|medium|big|biggest]}*1

命令功能 配置指定端口的入口/出口带宽和漏桶大小。

命令模式 配置模式

19-10
 第 19 章 配置 QoS

参数说明 参数 说明 缺少配置
<portlist> 端口列表 ——
all 所有端口 ——
[input|output] 入口/出口 ——
<0-127> 允许的带宽，单位M（百兆口），8M（千兆口） ——
[smallest|sm 漏桶大小，影响漏桶对突发流量的容忍程度，越 biggest
all|medium|bi 大的值表示对突发流量越能承受，同时反应越迟
g|biggest] 钝，该参数用以调节带宽限制对突发流量的缓冲
灵敏度

Harbour(config)# config port 1 bandwidth output 5 bucketsize medium

配置实例

show bandwidth port

相关命令

19.3.10 config port dscp

config port [<portlist>|all] dscp <0-63>

命令格式
no port [<portlist>|all] dscp

命令功能 配置基于 PORT 的 DSCP。

去除 PORT 的 DSCP 属性。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
<0-63> 给端口配置的codepoint的值

Harbour(config)#config port 1，3－12，5 dscp 63

配置实例
Harbour(config)#no port 4 dscp

19.3.11 config port remap-priority

config port [<portlist>|all] remap-priority <0-7>

命令格式

命令功能 配置端口到 802.1p 优先级的重新映射。

命令模式 配置模式

参数说明 参数 说明

19-11
第 19 章 配置 QoS

<portlist> 端口列表
all 所有端口
<0-7> remap-priority

config port remap-priority [on|off]

相关命令

19.3.12 config port remap-priority

[on|off]

config port [<portlist>|all] remap-priority [on|off]

命令格式

命令功能 使能或禁止端口到 802.1p 优先级的重新映射功能。

命令模式 配置模式

参数说明 参数 说明
<portlist> 端口列表
all 所有端口
[on|off] 使能或禁止

config port remap-priority

相关命令

19.3.13 config priority qosqueue

config priority <0-7> qosqueue [Low|Normal|Medium|High]

命令格式

命令功能 通过设置 CoS_SEL 寄存器的相应位来指定 802.1p 优先级到 CoS 队列的

映射关系。

命令模式 配置模式

19.3.14 config tos

config tos [enable|disable]

命令格式

命令功能 启动或关闭 ToS 服务。

命令模式 配置模式

19-12
 第 19 章 配置 QoS

参数说明 参数 说明
[enable|disable] 启动或关闭

Harbour(config)#config tos enable

配置实例

19.3.15 config vlan dot1x

authcontrolledvlancontrol

config vlan <name> dot1x authcontrolledvlancontrol [auto|forceauth]

命令格式

命令功能 控制带有该 VLAN 标志的报文需不需要端口通过认证后才能被转发。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称
auto 在启动dot1x功能的前提下，端口未通过认证的情况下，对于携
带任何VLAN信息的报文均不转发，此为默认状态
forceauth 在启动dot1x功能的前提下，无论端口认证状态如何，对携带该
VLAN信息的报文进行转发

19.3.16 config vlan dscp

config vlan <vlanname> dscp <0-63>

命令格式
no vlan <name> dscp

命令功能 配置基于 VLAN 的 dscp。

去除 vlan 的 dscp 属性。

命令模式 配置模式

Harbour(config)#config vlan default dscp 6

配置实例
Harbour(config)#no vlan default dscp

19.3.17 config vlan priority

config vlan <name> priority <0-7>

命令格式

19-13
第 19 章 配置 QoS

命令功能 通过改变 VLAN 的优先级属性来实现属于某一个 VLAN 的数据流的优先级

的重新映射。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称
<0-7> 优先级

使用指导 属于该 VLAN 的数据流的 802.1p 优先级被配置的优先级取代，转发到相应

的 CoS 队列。

no vlan priority
相关命令
show qos vlan

19.3.18 config vlan tos_p

config vlan <name> tos_p <1-7>

命令格式
no vlan <name> tos_p

命令功能 配置基于 VLAN 的 ToS，重写在该 VLAN 中转发的 IP 数据的 ToS 域。

取消 VLAN 的 ToS 属性。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称
<1-7>

Harbour(config)#config vlan test tos_p 6

配置实例
Harbour(config)#no vlan test tos_p

19.3.19 config WRR-queue bandwidth

config WRR-queue bandwidth <low,normal,medium,high>

命令格式

命令功能 配置 CoS 优先级调度策略。

命令模式 配置模式

19-14
 第 19 章 配置 QoS

参数说明 参数 说明
<low,normal,medium,high> CoS优先级队列

4个CoS优先级队列0、1、2、3分别表示low、normal、medium、high。
使用指导
如果采用严格轮循方式（SP）则执行命令：config WRR-queue bandwidth 0,0,0,0。
这样只有在高优先级的队列清空以后，低优先级队列中的包才转发。
如果采用加权轮循方式（WRR）执行命令：config WRR-queue bandwidth 1,2,3,4。
Low：Norma：Medium：High的权重比例关系为1：2：3：4，即每一次轮循从High
队列中取4个包；从Medium队列中取3个包；从Norma队列中取2个包；从Low队列
中取1个包。这四个参数的取值范围都是1-255。

show wrr-queue
相关命令

19.3.20 create fdbentry

create fdbentry <mac_address> vlan <name> port <portlist> {priority

命令格式 <0-7>}*1

命令功能 配置基于 MAC 的优先级。

命令模式 配置模式

19.3.21 create meter

create meter <name> bandwidth <1-127> bucketsize

命令格式 [smallest|small|medium|big|biggest]

命令功能 创建 METER，同时指定 METER 的带宽和漏桶大小。

命令模式 配置模式

参数说明 参数 说明 缺少配置
<name> METER名称 ——
<0-127> 允许的带宽，单位M（百兆口），8M（千兆口） ——
[smallest|sm 漏桶大小，影响漏桶对突发流量的容忍程度，越 biggest
all|medium|bi 大的值表示对突发流量越能承受，同时反应越迟
g|biggest] 钝，该参数用以调节带宽限制对突发流量的缓冲
灵敏度

使用指导 最多可以创建 55 个 METER。

create meter m_1 bandwidth 6 bucketsize smallest

配置实例

19-15
第 19 章 配置 QoS

delete meter
相关命令
show meter

19.3.22 delete meter

delete meter [<name>|all]

命令格式

命令功能 删除指定的或所有的 METER。

命令模式 配置模式

参数说明 参数 说明
[<name>|all] 指定的或所有的METER

delete meter m_1

配置实例

create meter
相关命令
show meter

19.3.23 no acl meter

no acl <name> meter

命令格式

命令功能 取消 ACL 的 METER 配置

命令模式 配置模式

参数说明 参数 说明
<name> ACL名称

使用指导 ACL 原有的 permit、deny 仍然生效，只是断开 ACL 和 METER 的关联。

config acl meter

相关命令

19.3.24 no acl priority

no acl <name> priority

命令格式

19-16
 第 19 章 配置 QoS

命令功能 取消对 ACL 策略的优先级属性的配置。

命令模式 配置模式

参数说明 参数 说明
<name> ACL策略名称

config acl priority

相关命令

19.3.25 no vlan priority

no vlan <name> priority

命令格式

命令功能 取消对 VLAN 优先级属性的配置。

命令模式 配置模式

参数说明 参数 说明
<name> VLAN名称

config vlan priority

相关命令

19.3.26 service qos [enable|disable]

service qos [enable|disable]

命令格式

命令功能 使能或禁止 QoS 服务。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 使能或禁止

使用指导 系统通过设置 CoS 优先级到相应队列的映射关系来实现 QoS 服务的使能

或禁止。初始化状态下 8 个 802.1p 优先级映射到唯一的 0 号 CoS 队列。
如果使能 QoS 服务，则启动 4 个 CoS 队列，8 个 802.1p 分别映射到相应
的 CoS 队列。如果禁止 QoS 功能，与 QoS 相关的命令不可用。

19-17
第 19 章 配置 QoS

19.3.27 show acl meter

show acl <name> meter

命令格式

命令功能 显示指定的 ACL 和 METER 的绑定情况。

命令模式 配置模式

参数说明 参数 说明
<name> ACL名称

show acl a1 meter

配置实例

19.3.28 show bandwidth port

show bandwidth port [<portlist>|all]

命令格式

命令功能 查看端口的带宽限制。

命令模式 配置模式

参数说明 参数 说明
<portlist> 查看特定端口的带宽限制
all 查看所有端口的带宽限制

Harbour(config)#show bandwidth port 3

配置实例

config port bandwidth

相关命令

19.3.29 show
dot1p-QosQueue-mapping

show dot1p-QosQueue-mapping
命令格式

命令功能 查看 802.1p 优先级到 CoS 队列的映射关系配置。

命令模式 配置模式

19-18
 第 19 章 配置 QoS

Harbour(config)#show dot1p-qosqueue-mapping
配置实例
--------Dot1p Priority-----------QoS Queue ---------
--------- 0 -------- Low --------
--------- 1 -------- Low --------
--------- 2 -------- Normal --------
--------- 3 -------- Normal --------
--------- 4 -------- Medium --------
--------- 5 -------- Medium --------
--------- 6 -------- High --------
--------- 7 -------- Low --------

19.3.30 show dscp

show dscp [vlan|acl|port|all]

命令格式

命令功能 显示 DiffServ 的配置信息。

命令模式 配置模式

Harbour(config)#show dscp all

配置实例
-------------VLAN DSCP-------------
VLANName DSCP
-------- ----
v1 10
-----------------------------------

-------------ACL DSCP-------------
AclName DSCP
------- ----
test 10
-----------------------------------

19.3.31 show dscp map

show dscp map

命令格式

命令功能 显示 DiffServ 到 802.1p 的映射信息。

命令模式 配置模式

Harbour(config)#show dscp map

配置实例
dscp codepoint 802.1pri
0-7 0

19-19
第 19 章 配置 QoS

8-15 1
16-23 2
23-31 3
32-39 4
40-47 5
48-55 6
56-63 7

19.3.32 show meter

show meter {<name>}*1

命令格式

命令功能 显示指定的或所有的 METER。

命令模式 配置模式

参数说明 参数 说明
<name> METER名称

19.3.33 show meter detail

show meter detail <name>

命令格式

命令功能 显示指定的 METER 的详细设置。

命令模式 配置模式

参数说明 参数 说明
<name> METER名称

show meter detail m_1

配置实例

19.3.34 show tos_p

show tos_p [vlan|acl|all]

命令格式

命令功能 显示 ToS 的配置信息。

命令模式 配置模式

19-20
 第 19 章 配置 QoS

参数说明 参数 说明

Harbour(config)#show tos all

配置实例
-------------VLAN ToS-------------
VLANName ToS_P
-------- -----
v1 3
----------------------------------
-------------ACL ToS-------------
AclName ToS_P
------- -----
test 2
----------------------------------

19.3.35 show wrr-queue

show wrr-queue
命令格式

命令功能 显示 4 个优先级队列与权重的对应关系。

命令模式 只读模式、配置模式

Harbour(config)#show wrr-queue
配置实例
-------- QoSQueue -------- WRR value --------
-------- Low -------- 1 -----------
-------- Normal -------- 2 -----------
-------- Medium -------- 3 -----------
-------- High -------- 4 -----------

19-21
 第 20 章 配置 ACL

20 第20章 配置 ACL

20.1 配置ACL

20.1.1 ACL概述

访问控制列表 ACL（Access Control List）是十分重要的条件列表，可以实现基于

MAC 地址、IP 地址、TCP/UDP 端口等包头字段的接入控制。它在网段之间实现强
大的控制访问功能，过滤不需要的数据包和实现安全策略。
ACL 配置规则如下：
ACL 的缺省方式是 permit any，也就是说当使能 ACL 功能但是没有配置任何
ACL 规则的时候，所有的数据包都可以不受 ACL 的约束正常转发。
在没有配置优先级的条件下，执行 ACL 规则时采用自下向上匹配方式，即后配
置的 ACL 规则先匹配。
具有优先级的概念，优先级高的 ACL 规则先匹配。

20.1.2 配置ACL策略

配置案例
步骤1 使能或者关闭ACL功能
Harbour(config)# service acl enable

步骤2 添加基于IP的ACL策略
Harbour(config)#create acl test_ip ip DIP 10.1.30.1/16 SIP
10.1.40.8/16 deny ports any precedence 30
步骤3 添加基于UDP的ACL策略
Harbour(config)#create acl test_udp udp DIP any ip-port 800 SIP any
ip-port 400 deny ports any precedence 10
步骤4 添加基于TCP的ACL策略
Harbour(config)#create acl test_tcp tcp DIP 11.1.30.1/24 ip-port
800 SIP 11.1.0.1/24 ip-port 400 deny ports any precedence 7
步骤5 添加基于MAC+IP的ACL策略

20-1
第 20 章 配置 ACL

Harbour(config)#create ACL test_macip mac-ip destination

001122334455 11.40.1.1/16 source 001234565566 11.1.30.1/16 deny
ports any precedence 100
步骤6 查看ACL策略
Harbour(config)#show acl all

ACL test_ip ip DIP 10.1.30.1/16 SIP 10.1.40.8/16 deny ports any

precedence 30
ACL test_udp udp DIP any ip-port 800 SIP any ip-port 400 deny ports
any precedence 10
ACL test_macip mac-ip destination 001122334455 11.40.1.1/16 source
001234565566 11.1.30.1/16 deny ports any precedence 100
ACL test_tcp tcp DIP 11.1.30.1/24 ip-port 800 SIP 11.1.0.1/24 ip-port
400 deny ports any precedence 7
ACL test_macip mac-ip destination 001122334455 11.40.1.1/16 source
001234565566 11.1.30.1/16 deny ports any precedence 100

20.1.3 设置策略计数器（counter）

可以为某条 ACL 策略设置一个计数器（counter），用以记录符合这条 ACL 策略的

报文数。
表20-1 设置策略计数器常用命令
create counter <name> 创建一个计数器
config acl <name> counter 将创建的计数器与某个已创建的ACL
<name> 策略相关联
clear counter [<name>|all] 对某个计数器或所有计数器清零
show counter [<name>|all] 显示某个计数器或所有计数器

20.1.4 过滤带分片的UDP/TCP报文

使用命令 create acl [udp|tcp]可以过滤带分片的 UDP/TCP 报文，但是配置时需要严

格注意配置顺序。

配置案例
过滤如下报文：
目的IP 源IP 目的端口 源端口
1.1.1.1 2.2.2.2 10 20

20-2
 第 20 章 配置 ACL

允许指定流量
步骤1 --------- Example (command image)

create acl r3 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
permit ports any
create acl r2 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
fragment-offset 0 deny ports any
create acl r1 udp DIP 1.1.1.1 ip-port 10 SIP 2.2.2.2 ip-port 20
fragment-offset 0 permit ports any

An order is very important.

--------- Example (hardware image)

No Proto DstIP SrcIP DstPort SrcPort FragOffset Action
1 UDP 1.1.1.1 2.2.2.2 10 20 0 Permit
2 UDP 1.1.1.1 2.2.2.2 ANY ANY 0 Deny
3 UDP 1.1.1.1 2.2.2.2 ANY ANY ANY Permit
.....
N Default Rule Deny
An order is very important.

丢弃某 UDP/TCP 端口号的流

步骤1 --------- Example (command image)

create acl r3 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
deny ports any
create acl r2 udp DIP 1.1.1.1 ip-port any SIP 2.2.2.2 ip-port any
fragment-offset 0 permit ports any
create acl r1 udp DIP 1.1.1.1 ip-port 10 SIP 2.2.2.2 ip-port 20
fragment-offset 0 deny ports any

An order is very important.

--------- Example (hardware image)

No Proto DstIP SrcIP DstPort SrcPort FragOffset Action
1 UDP 1.1.1.1 2.2.2.2 10 20 0 Deny
2 UDP 1.1.1.1 2.2.2.2 ANY ANY 0 Permit
3 UDP 1.1.1.1 2.2.2.2 ANY ANY ANY Deny
.....
N Default Rule Permit
An order is very important.

20.2 配置DOT1X-ACL

20.2.1 DOT1X-ACL概述

DOT1X-ACL 为 DOT1X 用户提供 ACL 策略规则，在 Radius server 上基于用户组

来对应相应的 ACL 策略规则。这些 ACL 策略规则并不真正加载，只有当 DOT1X
用户认证通过后，按其所属用户组选取相应的 ACL 策略规则，并加载这些策略规则，

20-3
第 20 章 配置 ACL

这样使 ACL 策略更加灵活。

1、为避免配置冲突，DOT1X-ACL 功能不可与常规 ACL 功能

同时使用。
注意 2、建议当使用 dot1x_acl 时每个端口只支持一个 dot1x 用户。

配置 802.1x 和 RADIUS 请参考本手册“配置 802.1x”和“配

提示 置 RADIUS”章。

20.2.2 配置DOT1X-ACL

表20-2 配置 DOT1X-ACL 常用命令

create dot1x-acl group 添加一条针对DOT1X用户组的ACL策略规则
delete dot1x-acl group rule 删除DOT1X-ACL策略规则
delete dot1x-acl group 删除一组DOT1X-ACL策略规则
show dot1x-acl group 查看DOT1X-ACL策略

配置案例
步骤1 添加一条针对DOT1X用户组的ACL策略规则
Harbour(config)# create dot1x-acl group 1 rule 15 dip 1.2.2.3/24
permit
步骤2 查看DOT1X-ACL策略
Harbour(config)#show dot1x-acl group all

dot1x-acl group 1 rule 15 dip 1.2.2.3/24 permit

20.3 命令参考

20.3.1 clear counter

clear counter [<name>|all]

命令格式

命令功能 对某个计数器或所有计数器清零。

20-4
 第 20 章 配置 ACL

命令模式 配置模式

参数说明 参数 说明
<name> 计数器名称
all 所有计数器

20.3.2 create acl [udp|tcp]

create acl <name> [udp|tcp] {ip_length [exact|upperlimit|range]

命令格式 <value>}*1 DIP [<A.B.C.D/M>|any] ip-port [<dst_port>|any] SIP
[<A.B.C.D/M>|any] ip-port [<src_port>|any] {fragment-offset
<0-8191>}*1 [permit|deny] ports [<portlist>|any] {precedence
<0-255>}*1

命令功能 添加基于 UDP 和 TCP 的 ACL 策略。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
exact 精确的长度值，可以在1-65535 ——
间任意指定
upperlimit 长度值的上限，必须是2的幂， ——
配置以后，长度字段的值从0到
（2的幂-1）的流会被选中
range 长度的取值范围，用<起始长度 ——
/范围指数>的方式输入，要求<
起始长度>能够整除2的<范围
指数>次幂，长度字段为<起始
长度>到<起始长度>+2的<范围
指数>次幂-1字节的流会被选中
<value> IP 头 部 TOTAL_LENGTH 域 的 ——
过滤值
DIP [<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
[<dst_port>|any] 匹配目的端口或任意值 ——
SIP [<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[<src_port>|any] 匹配源端口或任意值 ——
fragment-offset <0-8191> 用于过滤分片报文 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0（最低）

20-5
第 20 章 配置 ACL

20.3.3 config acl counter

config acl <name> counter <name>

命令格式
no acl <name> counter

命令功能 将创建的计数器与某个 ACL 策略相关联。

取消计数器与 ACL 策略的关联。

命令模式 配置模式

参数说明 参数 说明
acl <name> ACL策略名称
counter <name> 计数器名称

20.3.4 create acl ethernet

create acl <name> ethernet protocol [<0-65535>|any] [permit|deny] ports

命令格式 [<portlist>|any] {precedence <0-255>}*1

命令功能 添加基于以太 II 协议类型的 ACL 策略。

命令模式 配置模式

参数说明 参数 说明
<name> ACL策略名称
[<0-65535>|any] 指定以太II协议类型或任意类型
[permit|deny] 允许/禁止
[<portlist>|any] 指定端口列表或任意端口
<0-255> 策略的优先级

配置实例 在端口 1 上拒绝 ARP 报文 (2054=0x0806)：

Harbour(config)# create acl a1 ethernet protocol 2054 deny ports 1

20.3.5 create acl icmp

create acl <name> icmp {ip_length [exact|upperlimit|range] <value>}*1

命令格式 DIP [<A.B.C.D/M>|any] SIP [<A.B.C.D/M>|any] type [<icmp_type>|any] code
[<icmp_code>|any] [permit|deny] ports [<portlist>|any] {precedence
<0-255>}

命令功能 添加基于 ICMP 的 ACL 策略。

20-6
 第 20 章 配置 ACL

命令模式 配置模式

参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
exact 精确的长度值，可以在1-65535 ——
间任意指定
upperlimit 长度值的上限，必须是2的幂， ——
配置以后，长度字段的值从0到
（2的幂-1）的流会被选中
range 长度的取值范围，用<起始长度 ——
/范围指数>的方式输入，要求<
起始长度>能够整除2的<范围
指数>次幂，长度字段为<起始
长度>到<起始长度>+2的<范围
指数>次幂-1字节的流会被选中
<value> IP头部TOTAL_LENGTH域的 ——
过滤值
DIP [<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
SIP [<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[<icmp_type>|any] 匹配ICMP类型或任意值 ——
[<icmp_code>|any] 匹配ICMP代码或任意值 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0（最低）

20.3.6 create acl ip

create acl <name> ip {ip_length [exact|upperlimit|range] <value>}*1 DIP

命令格式 [<A.B.C.D/M>|any] SIP [<A.B.C.D/M>|any] [permit|deny] ports
[<portlist>|any] {precedence <0-255>}*1

命令功能 添加基于 IP 的 ACL 策略。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
exact 精确的长度值，可以在1-65535 ——
间任意指定
upperlimit 长度值的上限，必须是2的幂， ——
配置以后，长度字段的值从0到

20-7
第 20 章 配置 ACL

（2的幂-1）的流会被选中
range 长度的取值范围，用<起始长度 ——
/范围指数>的方式输入，要求<
起始长度>能够整除2的<范围
指数>次幂，长度字段为<起始
长度>到<起始长度>+2的<范围
指数>次幂-1字节的流会被选中
<value> IP头部TOTAL_LENGTH域的 ——
过滤值
DIP [<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
SIP [<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0（最低）

配置实例 1、IP 长度字段值为 1035 的流将被选中：

Harbour(config)# create acl ip_1 ip ip_length exact 1035 dip any sip
any permit port any
2、IP 长度字段值为 0 到 1024 的流将被选中（这里 upperlimit value 必须
为 2 的幂）：
Harbour(config)# create acl ip_1 ip ip_length uplimit 1024 dip any sip
any permit port any
3、IP 长度字段值为 2048---2063 [2063==2048+2^4-1] 的流都将被选中：
Harbour(config)# create acl ip_1 ip ip_length range 2048/4 dip any sip
any permit port any

20.3.7 create acl mac

create acl <name> mac destination [<dmac>|any] source [<smac>|any]

命令格式 [permit|deny] ports [<portlist>|any] {precedence <0-255>}

命令功能 添加基于 MAC 的 ACL 策略。

命令模式 配置模式

参数说明 参数 说明
<name> ACL策略名称
[<dmac> |any] 匹配目的MAC或任意值
[<smac> |any] 匹配源MAC或任意值
[permit|deny] 允许/禁止访问
[<portlist>|any] 指定物理端口号或任意值
<0-255> 策略的优先级

20-8
 第 20 章 配置 ACL

使用指导 不可以配置 dmac 和 smac 同时为 ANY 的 ACL，dmac 和 smac 都不能为

全 0 MAC。

配置实例 所有端口上拒绝目的地址为组播 0x010000000022 的报文：

Harbour(config)# create acl a2 mac destination 010000000022 source any
deny ports any

相关命令

20.3.8 create acl mac-ip

create acl <name> mac-ip destination [<dst_mac> |any] [<A.B.C.D/M> |any]

命令格式 source [<src_mac> |any] [<A.B.C.D/M>|any] [permit|deny] ports
[<portlist>|any] {precedence <0-255>}*1

命令功能 添加基于 MAC+IP 的 ACL 策略。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<name> ACL策略名称 ——
[<dst_mac> |any] 匹配目的MAC或任意值 ——
第一个[<A.B.C.D/M>|any] 匹配目的IP或任意值 ——
[<src_mac> |any] 匹配源MAC或任意值 ——
第二个[<A.B.C.D/M>|any] 匹配源IP或任意值 ——
[permit|deny] 允许/禁止访问 ——
[<portlist>|any] 指定物理端口号或任意值 ——
<0-255> 策略的优先级 0（最低）

20.3.9 create counter

create counter <name>

命令格式
delete counter [<name>|all]

命令功能 创建一个计数器。
删除某个计数器或所有计数器。

命令模式 配置模式

参数说明 参数 说明

20-9
第 20 章 配置 ACL

<name> 计数器名称
all 所有计数器

20.3.10 create dot1x-acl group

create dot1x-acl group <1-20> rule <1-20> DIP [<A.B.C.D/M>|any]

命令格式 [permit|deny]

命令功能 添加一条针对 DOT1X 用户组的 ACL 策略规则。

命令模式 配置模式

参数说明 参数 说明
group <1-20> DOT1X用户组号
rule <1-20> 策略规则号
[<A.B.C.D/M>|any] 匹配目的IP或任意值
[permit|deny] 允许/禁止

使用指导 每一个用户组最多可配置 20 条策略规则。

1 、 DIP 的 掩 码 长 度 可 选 取 的 数 量 是 有 限 的 ， 所 有
DOT1X-ACL 规则的掩码长度不能超过 6 种，相同掩码
注意 长度的 ACL 策略规则可以建立多个。
2、当同一 group 的规则之间存在嵌套关系时，DIP 的掩
码长度应该随规则号增加而增加，如下为正确配置：
dot1x-acl group 1 rule 1 dip 10.2.2.248/24 permit
dot1x-acl group 1 rule 2 dip 10.2.2.248/28 deny
dot1x-acl group 1 rule 3 dip 10.2.2.248/29 permit

delete dot1x-acl group

相关命令
delete dot1x-acl group rule

20.3.11 delete acl

delete acl [<name>|all]

命令格式

命令功能 删除指定的或所有的 ACL 策略。

命令模式 配置模式

20-10
 第 20 章 配置 ACL

参数说明 参数 说明
<name> ACL策略名
all 所有ACL策略

20.3.12 delete dot1x-acl group

delete dot1x-acl group [<1-20>|all]

命令格式

命令功能 删除一个或全部 DOT1X 用户组。

命令模式 配置模式

参数说明 参数 说明
<1-20> DOT1X用户组号
all 全部DOT1X用户组

相关命令

20.3.13 delete dot1x-acl group rule

delete dot1x-acl group <1-20> rule <1-20>

命令格式

命令功能 删除一条针对 DOT1X 用户组的 ACL 策略规则。

命令模式 配置模式

参数说明 参数 说明
group <1-20> DOT1X用户组号
rule <1-20> 策略规则号

create dot1x-acl group

相关命令
delete dot1x-acl group

20.3.14 service acl

service acl [enable|disable]

命令格式

命令功能 使能或关闭 ACL 功能。

20-11
第 20 章 配置 ACL

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 使能或关闭

20.3.15 show acl

show acl [<name>|all]

命令格式

命令功能 显示指定的或所有的 ACL 策略。

命令模式 配置模式

参数说明 参数 说明
<name> ACL策略名
all 所有ACL策略

20.3.16 show counter

show counter [<name>|all]

命令格式

命令功能 显示某个计数器或所有计数器的信息。

命令模式 配置模式

参数说明 参数 说明
<name> 计数器名称
all 所有计数器

默认状态 参数 说明
<name> 计数器名称
all 所有计数器

20.3.17 show dot1x-acl group

show dot1x-acl group [<1-20>|all]

命令格式

命令功能 查看指定的或所有的 DOT1X 用户组的 ACL 策略。

20-12
 第 20 章 配置 ACL

命令模式 配置模式

参数说明 参数 说明
<1-20> DOT1X用户组号
all 全部DOT1X用户组

20-13
 第 21 章 配置带宽限制

21 第21章 配置带宽限制

21.1 基于端口的带宽限制

配置步骤

步骤1 config port bandwidth 配置指定端口的入口/出口带宽和漏桶大小

步骤2 show bandwidth port 查看端口的带宽限制

配置案例

步骤1 配置端口的入口带宽限制
Harbour(config)#config port 3 bandwidth input 20

步骤2 配置端口的出口带宽限制
Harbour(config)#config port 3 bandwidth output 20

步骤3 查看端口的带宽限制信息
Harbour(config)#show bandwidth port 3

port 3 bandwidth input 20

port 3 bandwidth output 20

21.2 基于ACL的带宽限制

配置步骤

步骤1 service acl enable 使能ACL

步骤2 create acl 创建ACL
步骤3 create meter 创建METER
步骤4 config acl meter 绑定指定的ACL和指定的METER。
步骤5 show meter 显示指定的ACL和METER的绑定情况。
步骤6 show acl meter 显示指定的或所有的METER。

21-1
第 21 章 配置带宽限制

21.3 命令参考

21.3.1 config acl meter

config acl <name> meter <name>

命令格式

命令功能 绑定指定的 ACL 和指定的 METER。

命令模式 配置模式

参数说明 参数 说明
acl <name> ACL名称
meter <name> METER名称

使用指导 不要把多个 ACL 绑定到相同的 METER 上，这样在多个 ACL 存在流量的

情况下，限制会很不准确，系统在配置上不做检查，用户自行判断。
这里的 ACL 配置应当是 permit，否则配置没有意义，程序中不做检查，用
户自行判断。

config acl a_1 meter m_1

配置实例

show acl meter

相关命令

21.3.2 config port bandwidth

config port [<portlist>|all] bandwidth [input|output] <0-127>

命令格式 {bucketsize [smallest|small|medium|big|biggest]}*1

命令功能 配置指定端口的入口/出口带宽和漏桶大小。

命令模式 配置模式

参数说明 参数 说明 缺少配置
<portlist> 端口列表 ——
all 所有端口 ——
[input|output] 入口/出口 ——
<0-127> 允许的带宽，单位M（百兆口），8M（千兆口） ——

21-2
 第 21 章 配置带宽限制

[smallest|sm 漏桶大小，影响漏桶对突发流量的容忍程度，越 biggest

all|medium|bi 大的值表示对突发流量越能承受，同时反应越迟
g|biggest] 钝，该参数用以调节带宽限制对突发流量的缓冲
灵敏度

Harbour(config)# config port 1 bandwidth output 5 bucketsize medium

配置实例

show bandwidth port

相关命令

21.3.3 create meter

create meter <name> bandwidth <1-127> bucketsize

命令格式 [smallest|small|medium|big|biggest]

命令功能 创建 METER，同时指定 METER 的带宽和漏桶大小。

命令模式 配置模式

参数说明 参数 说明 缺少配置
<name> METER名称 ——
<0-127> 允许的带宽，单位M（百兆口），8M（千兆口） ——
[smallest|sm 漏桶大小，影响漏桶对突发流量的容忍程度，越 biggest
all|medium|bi 大的值表示对突发流量越能承受，同时反应越迟
g|biggest] 钝，该参数用以调节带宽限制对突发流量的缓冲
灵敏度

使用指导 最多可以创建 55 个 METER。

create meter m_1 bandwidth 6 bucketsize smallest

配置实例

delete meter
相关命令
show meter

21.3.4 delete meter

delete meter [<name>|all]

命令格式

命令功能 删除指定的或所有的 METER。

命令模式 配置模式

21-3
第 21 章 配置带宽限制

参数说明 参数 说明
[<name>|all] 指定的或所有的METER

delete meter m_1

配置实例

create meter
相关命令
show meter

21.3.5 show acl meter

show acl <name> meter

命令格式

命令功能 显示指定的 ACL 和 METER 的绑定情况。

命令模式 配置模式

参数说明 参数 说明
<name> ACL名称

show acl a1 meter

配置实例

21.3.6 show bandwidth port

show bandwidth port [<portlist>|all]

命令格式

命令功能 查看端口的带宽限制。

命令模式 配置模式

参数说明 参数 说明
<portlist> 查看特定端口的带宽限制
all 查看所有端口的带宽限制

Harbour(config)#show bandwidth port 3

配置实例

config port bandwidth

相关命令

21-4
 第 21 章 配置带宽限制

21.3.7 show meter

show meter {<name>}*1

命令格式

命令功能 显示指定的或所有的 METER。

命令模式 配置模式

参数说明 参数 说明
<name> METER名称

21.3.8 show meter detail

show meter detail <name>

命令格式

命令功能 显示指定的 METER 的详细设置。

命令模式 配置模式

参数说明 参数 说明
<name> METER名称

show meter detail m_1

配置实例

21-5
 第 22 章 配置 802.1x

22 第22章 配置 802.1x

22.1 NAS概述
随着宽带以太网建设规模的迅速扩大，为了适应用户数量急剧增加和宽带业务多样
性的要求，港湾网络公司通过在 Hammer 系列交换机上嵌入接入服务来完备用户的
认证和管理功能，以便更好地支持宽带网络的计费、安全、运营和管理的要求。嵌
入了接入服务的 Hammer 交换机称为网络访问服务器（Network Access Server，
NAS）。
接入服务在运用 802.1x 协议和 Radius 协议的基础上，实现对用户接入的认证和管
理功能。使用接入服务主要有以下优点：
简洁高效：纯以太网技术内核，保持 IP 网络无连接特性，去除冗余昂贵的多业
务网关设备，消除网络认证计费瓶颈和单点故障，易于支持多业务；
容易实现：可在普通 L3、L2、IP DSLAM 上实现，网络综合造价成本低；
安全可靠：在二层网络上实现用户认证，并可以通过设备实现 MAC、端口、账
户和密码等绑定技术，具有很高的安全性；
易于运营：控制流和业务流完全分离，易于实现多业务运营。
接入服务在运用 802.1x 基于端口的访问控制协议的基础上扩展了该协议，实现了基
于用户 MAC 地址的访问控制，可以对设备一个端口上的多个接入用户分别进行认
证和管理，提供对用户接入的灵活控制。同时能够与动态主机配置协议中继代理
（DHCP Relay）相结合，为计费服务器提供用户的 IP 地址。
接入服务提供 3 种身份验证方式：PAP，CHAP 和 EAP-MD5 方式，根据业务运营
的不同需求，可以使用其中任何一种身份验证方式实现接入服务：
1．使用 PAP 方式进行身份验证
如图 22-1 所示，首先用户终端向 Hammer 交换机发送 EAPOL-START 报文请求接
入服务，交换机返回 EAP-REQUEST/IDENTITY 报文到用户终端，要求用户提供身
份标识，用户终端返回 EAP-RESPONSE/IDENTITY 响应报文表示连接建立。然后
交换机发送 EAP-REQUEST/PAP 报文通知用户使用 PAP 方式验证身份，用户终端
发送 EAP-RESPONSE/PAP 报文到交换机，该报文中含有用户名和用户密码。交
换机根据来自用户终端的 EAP-RESPONSE/PAP 报文组装并发送 ACCESS

22-1
第 22 章 配置 802.1x

REQUEST 报文到 Radius 服务器。Radius 服务器对用户进行认证，如果认证通过，

返回 ACCESS ACCEPT 报文给交换机，由交换机完成相应操作以允许用户接入，
同时发送 EAP-SUCCESS 报文到用户终端通知用户接入成功。

图22-1 使用 PAP 方式进行身份验证的过程

2．使用 CHAP 方式进行身份验证

如图所示，首先用户终端向 Hammer 交换机发送 EAPOL-START 报文请求接入服
务，交换机返回 EAP-REQUEST/IDENTITY 报文到用户终端，要求用户提供身份标
识，用户终端回复 EAP-RESPONSE/IDENTITY 表示连接建立。然后交换机生成
challenge 信息，并发送 EAP-REQUEST/CHALLENGE 报文通知用户使用 CHAP
方式验证身份，用户终端返回 EAP-RESPONSE/MD5-CHALLENGE 响应报文给交
换机。交换机根据来自用户终端的 EAP-RESPONSE/MD5-CHALLENGE 报文组装
并发送 ACCESS REQUEST 报文送到 Radius 服务器。Radius 服务器对用户进行
认证，如果认证通过，返回 ACCESS ACCEPT 报文给交换机，由交换机完成相应
操作以允许用户接入，同时发送 EAP-SUCCESS 报文到用户终端通知用户接入成

22-2
 第 22 章 配置 802.1x

功。

图22-2 使用 CHAP 方式进行身份验证的过程

3．使用 EAP-MD5 方式进行身份验证

如图 22-3 所示，首先用户终端向 Hammer 交换机发送 EAPOL-START 报文请求接
入服务，交换机返回 EAP-REQUEST/IDENTITY 报文到用户终端，要求用户提供身
份标识，用户终端回复 EAP-RESPONSE/IDENTITY 表示连接建立。然后由交换机
发送 ACCESS-REQUEST 到 Radius 服务器，Radius 服务器生成 challenge 信息，
并将 ACCESS-CHALLENGE 报文发送给交换机。接下来，交换机向用户终端发送
EAP-REQUEST/CHALLENGE 报文通知用户使用 EAP-MD5 方式验证身份，终端
返回 EAP-RESPONSE/MD5-CHALLENGE 报文作为响应。交换机将来自用户终端
的 EAP-RESPONSE/MD5-CHALLENGE 报文封装到 ACCESS REQUEST 报文中，
并发送到 Radius 服务器。Radius 服务器对用户进行认证，如果认证通过，则返回
ACCESS ACCEPT 报文给交换机，由交换机完成相应操作以允许用户接入，同时
发送 EAP-SUCCESS 报文到用户终端通知用户接入成功。

22-3
第 22 章 配置 802.1x

图22-3 使用 EAP-MD5 方式进行身份验证的过程

22.2 802.1x协议
在 IEEE 802 所定义的局域网环境中，只要存在物理的连接口，未经授权的网络设
备就可以直接或通过连接到局域网的设备进入局域网络。随着局域网技术的广泛应
用，在很多网络环境中，往往不希望有未经授权的设备或用户连接到网络，使用网
络提供的资源和服务。特别是在运营网络中的应用，对其安全认证的要求已经提到
了议事日程上。如何既能够利用局域网技术简单、廉价的组网特点，同时又能够对
用户或设备访问网络的合法性提供认证，是目前业界讨论的焦点。IEEE 802.1x 协
议正是在这样的背景下提出的。
IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control
protocol），该协议在利用 IEEE 802 LAN 的优势基础上提供了对连接到局域网的设
备或用户进行认证和授权的一种手段。通过此方式的认证，能够在 LAN 这种多点
访问环境中提供一种点对点识别用户的方式。这里的端口是指连接到 LAN 的一个单

22-4
 第 22 章 配置 802.1x

点结构，可以是被认证系统的 MAC 地址，也可以是服务器或网络设备上连接 LAN

的物理端口，或者是在 IEEE 802.11 无线 LAN 环境中定义的工作站和访问点。

22.2.1 802.1x体系结构

IEEE 802.1x 协议的体系结构包括三个重要的组成部分：Supplicant 客户端、

Authenticator System 认证系统、Authentication Server 认证服务器。下图描述了三
者之间的关系以及相互之间的通信。

图22-4 IEEE 802.1x 认证体系结构

客户端系统 认证系统 认证服务器系统

客户端PAE 认证系统提供 认证PAE 认证服务器

的服务 EAP
受控 不受控
端口 端口
未认证

EAPOL

LAN

客户端系统一般指用户终端系统，该终端系统通常需要安装一个客户端软件，用户
通过启动这个客户端软件发起 802.1x 协议的认证过程。为了支持基于端口的接入控
制，客户端系统需支持 EAPOL（Extensible Authentication Protocol Over LAN）协
议。
认证系统通常指那些支持 802.1x 协议的网络设备，如港湾网络公司的 Hammer 系
列交换机和无线访问点设备。支持 802.1x 协议的网络设备对应不同的用户端口（可
以是物理端口，也可以是用户设备的 MAC 地址）有两个逻辑端口：受控（Controlled
Port）端口和不受控端口（Uncontrolled Port）。不受控端口始终处于双向连通状态，
主要用来传递 EAPOL 协议帧，可保证客户端始终能够发出或接受认证。受控端口
只有在认证通过的状态下才可打开，用于传递网络资源和服务。受控端口可配置为
双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，
则受控端口处于未认证状态，用户无法访问认证系统提供的服务。图 1-4 中认证系
统的受控端口处于未认证状态，因此客户端无法访问认证系统提供的服务。

22-5
第 22 章 配置 802.1x

PAE 是端口访问实体（Port Access Entity），分为客户端 PAE 和认证系统 PAE：

客户端 PAE：位于客户端，主要负责响应来自认证系统建立信任关系的请求。
认证系统 PAE：位于认证系统，负责与客户端的通信，把从客户端收到的信息
传送给认证服务器以完成认证。
认证系统的 PAE 通过不受控端口与客户端 PAE 进行通信，二者之间运行 EAPOL
协议。认证系统的 PAE 与认证服务器之间运行 EAP（Extensible Authentication
Protocol）协议。
认证系统和认证服务器之间的通信可以通过网络进行，也可以使用其他的通信通道。
例如当认证系统和认证服务器集成在一起时，两个实体之间的通信就可以不采用
EAP 协议。
认证服务器通常为 Radius 服务器，该服务器可以存储有关用户的信息，比如用户
所属的 VLAN、CAR 参数、优先级、用户的访问控制列表等等。当用户通过认证后，
认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制
列表，用户的后续流量将接受上述参数的监管。
图 22-4 描述了终端用户的认证机制，对于网络设备之间的认证也是一样。例如：
当一个网络设备 A 要求访问网络设备 B 所提供的服务时，系统 A 的 PAE 就成为客
户端（Suppliant），系统 B 的 PAE 为认证系统（Authenticator）；如果 B 要求访
问 A 所提供的服务时，B 的 PAE 就成为客户端，A 的 PAE 就成为认证系统。

22.2.2 802.1x认证机制

802.1x 作为一种认证协议，在实现的过程中有很多重要的工作机制，这里我们主要
介绍其中四种机制：
认证发起机制
退出认证机制
重新认证机制
认证报文丢失重传机制
1．认证发起机制
认证的发起可以由用户主动发起，也可以由认证系统发起。当认证系统探测到有未
经过认证的用户使用网络时，就会主动发起认证。用户端可以通过客户端软件向认
证系统发送 EAPOL-Start 报文发起认证。
由认证系统发起的认证
当认证系统检测到有未经认证的用户使用网络时，就会发起认证。在认证开始之前，
端口的状态被强制为未认证状态。

22-6
 第 22 章 配置 802.1x

如果客户端的身份标识不可知，则认证系统会发送 EAP-Request/Identity 报文，请

求客户端发送身份标识。这样，就开始了典型的认证过程。
客户端在收到来自认证系统的 EAP-Request 报文后，将发送 EAP-Response 报文
响应认证系统的请求。
认证系统支持定期的重新认证，可以随时对一个端口发起重新认证的过程。如果端
口状态为已认证状态，则当认证系统发起重新认证时，该端口通过认证，状态保持
不变；如果未通过认证，则端口的状态改变为未认证状态。
由客户端发起认证
如果用户要上网，则可以通过客户端软件向认证系统发送 EAPOL-Start 报文主动发
起认证。认证系统在收到客户端发送的 EAPOL-Start 报文后，会发送
EAP-Request/Identity 报文响应用户请求，要求用户发送身份标识，这样就启动了
一个认证过程。
2．退出认证机制
有以下几种方式可以造成认证系统把端口状态从已认证状态改变成未认证状态：
客户端未通过认证服务器的认证
管理性的控制端口始终处于未认证状态
与端口对应的 MAC 地址出现故障（管理性禁止或硬件故障）
客户端与认证系统之间的连接失败，造成认证超时
重新认证超时
客户端未响应认证系统发起的认证请求
客户端发送 EAPOL-Logoff 报文，主动下线
退出已认证状态的直接结果就是导致用户下线，如果用户要继续上网则要再发起一
个认证过程。为什么要专门提供一个 EAPOL-Logoff 机制呢？主要是出于如下安全
的考虑：当一个用户从一台终端退出后，很可能其他用户不通过发起一个新的登录
请求，就可以利用该设备访问网络。提供专门的退出机制，以确保用户与认证系统
专有的会话进程被中止，可以防止用户的访问权限被他人盗用。通过发送
EAPOL-Logoff 报文，可以使认证系统将对应的端口状态改变为未认证状态。
3．重新认证机制
为了保证用户和认证系统之间的链路处于激活状态，而不因为用户端设备发生故障
造成异常死机，从而影响对用户计费的准确性，认证系统可以定期发起重新认证过
程，该过程对于用户是透明的，即用户无需再次输入用户名和密码。
重新认证由认证系统发起，时间是从最近一次成功认证后算起。交换机上的重新认
证功能可以激活或关闭，默认情况下是关闭的。重新认证的时间默认值为 3600 秒

22-7
第 22 章 配置 802.1x

（一个小时）。
重新认证的时间设定需要认真的规划，认证系统对端口进入的
MAC 地址的检测能力会影响到该时间的设定。如果对 MAC 地
注意 址的检测比较可靠，则重新认证时间可以设长一些。

4．认证报文丢失重传机制
对于认证系统和客户端之间通信的 EAP 报文，如果发生丢失，由认证系统负责进行
报文的重传，通过一个超时计数器来完成对重传时间的设定。考虑到网络的实际环
境，一般认为认证系统和客户端之间报文丢失的几率比较低，且传送延迟低，因此
设定默认的重传时间为 30 秒钟。
由于对用户身份合法性的认证最终由认证服务器执行，因此认证系统和认证服务器
之间的报文丢失重传也很重要，我们通过建立另一个超时计数器来实现对认证系统
和认证服务器之间重传报文时间的设定。
另外需要注意的是，如果客户端需要通过 DHCP Server 动态获取 IP 地址，那么在
执行 802.1x 认证过程中，只有客户端认证通过后，才会有 DHCP 发起和 IP 地址分
配的过程。
对于未通过认证的客户端，
其所连接的认证系统的端口将丢弃任何 DHCP
请求报文。

22.2.3 802.1x协议实现内容

802.1x 协议在实现整个安全认证的过程中，其三个关键部分（客户端、认证系统、
认证服务器）之间是通过通信协议进行交互的，因此有必要对其相关的通信协议做
一介绍。
EAP 协议
802.1x 协议采用 EAP 协议在客户端、认证系统和认证服务器之间进行通信。EAP
（Extensible Authentication Protocol 扩展的认证协议，RFC 2284）是 PPP 认证
的一个通用协议，支持多种认证机制。EAP 在链路控制（LCP）阶段并不选择好一
种认证机制，而是把这一步推迟到认证阶段，这就允许认证系统在确定某种特定认
证机制之前请求更多的信息。
通过支持 EAP 协议，认证系统只需控制其受控端口的状态，而并不干涉通过非受控
端口在客户端和认证服务器之间传递的认证信息，这样可实现认证流和业务流的完
全分离。可以使用认证服务器来实现各种认证机制，认证系统仅仅需要传送认证信
息，并根据认证返回的结果控制受控端口的状态。

22-8
 第 22 章 配置 802.1x

EAP 帧结构如下图所示：

图22-5 EAP 帧结构

EAP 帧格式中各字段含义如下表所示：

表22-1 EAP 帧格式中各字段含义

字段 占用字节数 描述
Code 1个字节 表示EAP帧的四种类型：
1．Request
2．Response
3．Success
4．Failure
Identifier 1个字节 用于匹配Request和Response。Identifier的值和系统端口
一起单独标识一个认证过程
Length 2个字节 表示EAP帧的总长度
Data 0或更多字节 表示EAP数据

EAPOL 协议
EAPOL 是 EAP 协议在 802.3/以太网上的一种封装技术，称为 EAP over LANs（局
域网上的扩展认证协议），主要用于在客户端和认证系统之间传送 EAP 协议报文，
以允许 EAP 协议报文在 LAN 上传送。
EAPOL 帧结构如下图所示：

22-9
第 22 章 配置 802.1x

图22-6 EAPOL 帧结构

EAPOL 帧格式中各字段含义如下：
表22-2 EAPOL 帧格式中各字段含义
字段 占用字节数 描述
PAE Ethernet Type 2个字节 表示协议类型，802.1x分配的协议类型为888E
Protocol Version 1个字节 表示EAPOL 帧的发送方所支持的协议版本号。
本规范使用值为0000 0001
Packet Type 1个字节 表示传送的帧类型，如下几种帧类型：
a) EAP-Packet. 值为 0000 0000 ，表示为EAP
帧
b) EAPOL-Start.值为0000 0001 ，表示为
EAPOL-Start 帧
c) EAPOL-Logoff. 值为0000 0010，表示为
EAPOL-Logoff请求帧
d) EAPOL-Key.值为0000 0011 ，表示为
EAPOL-Key 帧.
e) EAPOL-Encapsulated-ASF-Alert. 值为0000
0100
Packet Body Length 2个字节 表示Packet Body的长度
Packet Body 0或更多字 如果Packet Type为EAP-Packet、EAPOL-Key
节 或EAPOL-Encapsulated-ASF-Alert的值，则
Packet Body取相应的值；对于其他帧类型，该
值为空。

EAPOL 帧在传送过程中不携带 802.1q 的 VLAN 标记，但是可以携带 802.1p 优先

级标记。所有的 PAE 都能够接收带或不带优先级标记的 EAPOL 帧。

22-10
 第 22 章 配置 802.1x

EAPOL 帧在二层传送时，必须要有目标 MAC 地址，当客户端和认证系统彼此之间

不知道发送的目标时，其目标 MAC 地址使用由 802.1x 协议分配的组播地址
01-80-c2-00-00-03。

22.3 配置802.1x
22.3.1 使能/关闭802.1x认证服务

使能/关闭 802.1x 认证服务，使用以下配置命令：

config dot1x [enable|disable]
选择 enable 表示使能 802.1x 认证服务，选择 disable 表示关闭 802.1x 认证服务。
例如：使能 802.1x 认证服务
Harbour(config)# config dot1x enable

22.3.2 配置协议参数

802.1x 端口访问控制协议通过在客户端系统和认证系统之间传递 EAPOL 数据包、

在认证系统和认证服务器之间传递 Radius 数据包实现访问控制，在传递数据包的
过程中有如下的计时属性：
quietPeriod：是指在一次认证失败后多长时间内认证系统不接收来自客户端系统的
认证请求，这项功能可以防止一些不良用户试图不停的进行认证。
TxPeriod：认证系统在某个指定的时间内如果没有收到客户端系统的回复，便会重
发 EAP-Request/Identity 数据帧到客户端，TxPeriod 便是这个指定的重传
EAP-Request/Identity 数据帧的时间间隔。
max-req：该参数用于设置当认证系统在某个指定的时间内没有收到客户端系统的
回复时，向客户端重发 EAP-Request/Identity 数据帧的最大次数。
suppTimeout 和 serverTimeout：表示在认证过程中认证系统接收来自客户端数据
包的超时时间和来自认证服务器数据包的超时时间。
1．配置 quietPeriod
配置 quiet 时间后，当用户终端收到从 Authentication Server 传来的拒绝该用户的
接入请求报文后，在此时间间隔内，不论用户采取任何手段与服务器联系，系统将
保持沉默不予理睬，默认值为 60 秒，使用以下配置命令：
config dot1x quiet-period <0-65535>

22-11
第 22 章 配置 802.1x

2．配置 txPeriod
配置认证系统向客户端系统重传 EAP-Request/Identity 数据帧的时间间隔，默认值
为 30 秒，使用以下配置命令：
config dot1x tx-period <1-65535>
3．配置 max-req
配置认证系统向客户端重传数据帧的最大次数，默认值是 2，用以下配置命令：
config dot1x max-req <1-10>
4．配置 suppTimeout
配置认证系统接收来自客户端系统的数据包的超时时间，默认值是 30 秒，使用以
下配置命令：
config dot1x supp-timeout <1-65535>
5．配置 serverTimeout
配置认证系统接收来自认证服务器的数据包的超时时间，默认值是 30 秒，使用以
下配置命令：
config dot1x server-timeout <1-65535>

22.3.3 配置对端口的802.1x控制

1．配置端口的认证状态
端口有三种认证状态，分别是 auto、forceauth 和 forceunauth：
auto：此时端口处于接受认证状态，用户能否访问网络完全取决于用户能否认证成
功。缺省配置下，端口的认证状态为 auto。
forceauth：此时端口无条件的处于已授权状态，用户可以不受限制的访问网络。
forceunauth：此时端口无条件的处于未经授权状态，用户不能访问网络。
配置命令如下：
config port [<portlist>|all] dot1x authcontrolledportcontrol [auto|forceauth|
forceunauth]

例如：将交换机的端口 1、2、3 分别设置为 auto，forceauth，forceunauth 状态

Harbour(config)# config port 1 dot1x authcontrolledportcontrol auto
Harbour(config)# config port 2 dot1x authcontrolledportcontrol forceauth

22-12
 第 22 章 配置 802.1x

Harbour(config)# config port 3 dot1x authcontrolledportcontrol forceunauth

2．配置端口的控制模式
端口的控制模式有两种：一种是基于端口的控制，另一种是基于 MAC 的控制。在
基于端口控制模式下，一个端口上只要有一个合法用户认证通过，则接在该端口下
的其他用户不需认证即可获得访问权限；而在基于 MAC 控制模式下，一个端口上
的每个用户都要进行独立的认证和计费，只有认证通过的合法用户才能获得访问权
限，未通过认证的用户则无法访问网络。在同一认证系统的不同端口上可同时配置
两种不同的控制模式。
配置端口控制模式的命令如下：
config port [<portlist>|all] dot1x port-control-mode [MAC-based|port-based|
vlan-based]
参数<portlist>表示端口号的列表。一次可以对多个端口进行相同的配置，参数 all
表示对所有的端口进行配置；参数 MAC-based 表示端口的控制模式是基于 MAC 的
控制；参数 port-based 表示端口的控制模式是基于端口的控制。缺省配置下，端口
的控制模式为 MAC-based。
例如：配置交换机的端口 1-4 采用基于端口的控制模式，端口 5-10 采用基于 MAC
的控制模式。
Harbour(config)# config port 1-4 dot1x port-control-mode port-based
Harbour(config)# config port 5-10 dot1x port-control-mode MAC-based

3．设置一个端口最多允许接入客户端的数目
港湾公司 Hammer 系列交换机的一个端口在基于 MAC 的控制模式下可支持多个认
证用户，使用以下命令设置允许端口接入的最大用户数：
config dot1x multiple-host-one-port max-host-count <2-512>
<2-512>表示一个端口允许接入的最大用户数的范围，缺省配置为 255。其中，512
既是一个端口允许接入的最大用户数，也是 Hammer 交换机整个认证系统允许接入
的最大用户数（uHammer24 交换机除外，uHammer24 允许接入的最大用户数是
256，单端口允许接入的最大用户数范围是<2-256>）。该命令只对基于 MAC 控制
模式的端口有效。
例如：设置每个端口允许接入的最大用户数是 10
Harbour(config)# config dot1x multiple-host-one-port max-host-count 10

22-13
第 22 章 配置 802.1x

22.3.4 设置用户绑定功能

默认情况下，端口的用户绑定功能是禁用的，任何用户通过认证系统（Hammer 交
换机）的任何端口都可以请求认证，并在认证通过后访问网络资源。如果希望认证
系统只对特定的用户进行认证，可以设置用户绑定功能。启用该功能后，只有端口
上绑定的用户才可以请求认证，并在通过认证后访问网络资源，未绑定的用户则不
能请求认证。一个端口可以绑定一个或多个用户，如果希望将一个用户绑定到多个
端口，可以打开单用户多端口功能。有关用户绑定的配置命令具体如下：
使能或禁止用户绑定功能
config dot1x binduser [enable|disable]
使能或关闭一个用户绑定到多个端口的功能
config dot1x binduser multi-port-per-user [enable|disable]
在端口处添加或删除绑定的用户
config dot1x binduser [add|delete] port [<portlist>|all] user <username>
清除所有用户绑定信息
config dot1x binduser clear-all

22.3.5 设置重新认证机制

为了保证用户和认证系统（Hammer 系列交换机）之间的链路处于激活状态，而不
因为用户端设备发生故障造成异常死机，从而影响对用户计费的准确性，认证系统
可以定期发起重新认证过程。
1．使能/关闭重新认证机制
使用如下配置命令：
config dot1x re-authentication [enable|disable]
选择 enable 表示使能重新认证机制，选择 disable 表示关闭重新认证机制。系统缺
省设置为关闭重新认证机制。
例如：使能重新认证机制
Harbour(config)# config dot1x re-authentication enable

2．设置重新认证的时间间隔
使用如下配置命令：

22-14
 第 22 章 配置 802.1x

config dot1x re-authentication period <1-65535>

该命令用于配置重新认证的时间间隔。重新认证由认证系统发起，时间是从最近一
次成功认证后算起，范围是 1～65535 秒，默认值为 3600 秒，即 1 小时。
例如：设置交换机重新认证的时间间隔为 4000 秒
Harbour(config)# config dot1x re-authentication period 4000

重新认证的时间设定需要认真规划，认证系统对端口进入的
MAC 地址的检测能力会影响到该时间的设定。如果对 MAC 地
提示 址的检测比较可靠，则重新认证时间可以设长一些。

22.3.6 设置异常下线检测机制
（keepalive）

除了重新认证机制，为判断接入用户是否保持连接状态，接入模块还提供了另一种
检测机制——异常下线检测机制。重新认证机制需要为每个在线用户启动一次完整
的认证过程，在用户量较大的情况下，启动重新认证功能将导致频繁产生认证报文，
对交换机造成一定的负担，而异常下线检测机制只需要少量的报文交互便可以确定
用户是否在线。有关异常下线检测的命令如下：
1．使能/禁止异常下线检测功能
使用如下配置命令：
config dot1x keepalive[enable|disable]
选择 enable 表示启用异常下线检测功能，选择 disable 表示关闭异常下线检测功能。
系统缺省为关闭该功能。
例如：使能异常下线检测功能
Harbour(config)# config dot1x keepalive enable

2．设置异常下线检测的方法
异常下线检测机制提供两种检测方式：一种方式是由交换机主动向客户端定期发送
检测请求（state-machine），
请求报文利用了 802.1x 协议定义的 EAPOL/EAP ReqId
报文，如果收到客户端的 EAPOL/EAP RespId 响应，说明该用户在线，反之，如果
未收到响应则说明用户已经下线。
另一种方式是由客户端主动向交换机定期发送检测请求报文（ping-pong），发送的
时间间隔 SendKeepaliveRequestPeriod 和允许的最多无响应次数

22-15
第 22 章 配置 802.1x

MaxNoKeepaliveResponseCount 均由交换机决定，并通知给客户端。检测报文没
有利用协议中规定的报文格式，而是定义了专门的格式。交换机收到来自客户端的
检测报文后确认客户端在线并响应客户端的检测请求。如果在规定的时间内（该时
间由命令行配置换算得出，它的值=客户端允许最多不响应次数
MaxNoKeepaliveResponseCount×客户端定期发送 keepalive 请求的时间间隔
SendKeepaliveRequestPeriod + 30）。没有收到客户端的检测请求，说明客户端
已经异常下线。缺省时，系统使用 ping-pong 机制。
配置命令如下：
config dot1x keepalive mechanism [ping-pong|state-machine]

3．设置 statemachine 方式下发送检测报文的时间间隔

使用如下配置命令：
config dot1x keepalive state-machine-period <10-3600>
该命令用于设置交换机每隔多长时间检测一次 802.1x 客户端是否仍为 active 状态。
时间范围是 10～3600 秒，默认间隔为 300 秒。
例如：设置交换机每隔 180 秒钟检测一次 802.1x 客户端的在线情况
Harbour(config)# config dot1x keepalive state-machine-period 180

4．设置 ping-pong 方式下发送检测报文的时间间隔

使用如下配置命令：
config dot1x keepalive ping-pong-period <60-600>

该命令用于设置客户端向交换机定期发送检测报文的时间间隔。时间范围是 60～
600 秒，默认时间间隔是 120 秒。
例如：设置 ping-pong 方式下发送检测报文的时间间隔为 180 秒
Harbour(config)# config dot1x keepalive ping-pong-period 180

5．设置允许客户端未响应的最大次数
使用如下配置命令：
config dot1x keepalive max-no-response-count <2-30>
设置了这条命令参数后，当交换机在规定的响应时间内未收到客户端的响应报文时，
它将再次发送检测报文继续检测。只有客户端未响应的次数超过这个设定的值后，
才确定客户端异常下线，并断开连接。该参数的范围是 2～30 次，缺省值是 5。

22-16
 第 22 章 配置 802.1x

例如：设置允许客户端未响应的最大次数为 3
Harbour(config)# config dot1x keepalive max-no-response-count 3

22.3.7 强制用户退出认证状态

出于对管理和安全的考虑，交换机允许管理者强令某个或某些用户退出认证状态，
可根据以下条件强制用户退出：
1．根据客户端的 IP 地址强制用户退出认证状态
使用如下配置命令：
config dot1x pae force-logoff IP <A.B.C.D>
设置了这条命令后，对符合该 IP 地址的客户端，交换机将强制其退出认证状态。
例如：令 IP 地址为 10.10.2.6 的客户端退出认证状态
Harbour(config)# config dot1x pae force-logoff IP 10.10.2.6

2．根据端口访问实体（PAE）的 ID 号强制用户退出认证状态
使用如下配置命令：
config dot1x pae force-logoff id <paeid>
该命令表示对 PAE 的 ID 号为<paeid>的客户端，交换机将强制其退出认证状态。
例如：令 paeid 为 10 的客户端退出认证状态
Harbour(config)# config dot1x pae force-logoff id 10

3．根据 ISP 域名强制用户退出认证状态

使用如下配置命令：
config dot1x pae force-logoff isp-domain <domain>
此命令强制那些属于名为<domain>的 ISP 域的客户端退出认证状态。
例如：令属于名为 usergroup1 的 ISP 域的客户端退出认证状态
Harbour(config)# config dot1x pae force-logoff isp-domain usergroup1

4．根据客户端的 MAC 地址强制用户退出认证状态

使用如下配置命令：

22-17
第 22 章 配置 802.1x

config dot1x pae force-logoff mac <usermac>{port<portno>}*1

此命令强制 MAC 地址为<usermac>的客户端退出认证状态。当使用{port<portno>}
参数时，表示该命令只对交换机某个指定端口（<portno>）上的 MAC 地址为
<usermac>的客户端有效，如果不使用这个参数，则对任何端口上连接的 MAC 地
址为<usermac>的客户端有效。
例如：令交换机端口 3 上所连接的 MAC 地址为 12-00-1c-36-02-11 的客户端退出认
证状态
Harbour(config)# config dot1x pae force-logoff mac 12001c360211 port 3

5．根据端口号强制用户退出认证状态
使用如下配置命令：
config dot1x pae force-logoff port<portno>
该命令强制交换机某个端口下的所有用户都退出认证状态。
例如：令交换机端口 10 上的所有客户端退出认证状态
Harbour(config)# config dot1x pae force-logoff port 10

6．根据用户名强制用户退出认证状态
使用如下配置命令：
config dot1x pae force-logoff username <username>
该命令强制用户名为<username>的用户退出认证状态。
例如：令用户名为 client 的用户退出认证状态
Harbour(config)# config dot1x pae force-logoff username client

7．强制所有用户退出认证状态
使用如下配置命令：
config dot1x pae force-logoff all
该命令强制交换机上的所有 802.1x 用户退出认证状态。
例如：令所有用户退出认证状态
Harbour(config)# config dot1x pae force-logoff all

22-18
 第 22 章 配置 802.1x

22.3.8 清除802.1x统计信息

使用以下命令可以清除所有 802.1x 的统计信息：

config dot1x clear-statistic

22.3.9 配置基于802.1x的动态限速功能

交换机通过与路由引擎相结合而具备多种限速功能。它可以按 64Kbps 为单位进行

速率限制，最高速率可达到 64Mbps。使用限速功能提高了网络带宽的利用率，使
网络资源得到有效的控制，增强了网络性能。如果交换机上配有三层路由模块, 那
么在启动 802.1x 认证服务后，对认证通过的用户可通过打开限速功能来控制其上行
和下行的数据流量，并统计出实际的流量。在认证过程中，限速参数通过 Radius 服
务器的 Access Accept 报文属性带到交换机。具体使用哪些属性，不同的厂商可能
有不同的要求，可能会使用标准属性，也可能使用 26 号属性——厂商自定义的属
性，我们可以根据厂商的要求用命令行来灵活配置，关于如何从属性中接收限速参
数的问题将在后面的 Radius 属性配置中介绍。
需要注意的是，用户也可不使用基于 802.1x 的动态限速配置方式，而直接通过命令
行以手动配置的方式使用限速功能。这两种限速配置方式是互斥的，也就是说如果
启动了基于 802.1x 的动态限速配置，就不能再使用手动方式进行限速配置。

基于 802.1x 的动态限速功能的整体流程如下：
启动基于 802.1x 的动态限速功能的先决条件是 802.1x 服务和 DHCP Relay 服
务均已启动。之所以要启动 DHCP Relay 服务，是因为下行流需要绑定用户的
IP 地址，L3 模块的限速功能只针对那些自动获取 IP 地址的用户。当启动了基
于 802.1x 的动态限速功能时，系统会默认绑定两种流类型：SMAC 和 DIP。用
户认证通过后，Radius 服务器将分配给用户的上下行带宽等值使用 Access
Accept 报文的属性带回并保存在交换机中。
认证通过后，用户自动申请 IP 地址。802.1x 模块通过 DHCP Relay 模块获取用
户的 IP 地址后对用户进行限速配置，限速配置将用到 Radius 服务器带回的限
速参数，配置方法与命令行手动配置相同。
完成限速配置后，便可实现对用户带宽的限制了。用户下线后，需要清除对该
用户进行的限速配置。

基于 802.1x 的动态限速功能有以下几点需要说明：

22-19
第 22 章 配置 802.1x

对用户上行流进行限速配置时，系统会自动根据源 MAC 地址进行限速，对用户

下行流进行限速配置时，是根据目的 IP 地址进行限速。
在启动基于 802.1x 的动态限速功能时，如果用户已经用命令行进行了限速配置,
那么将不能启动此限速功能，系统提示用户清空所有命令行限速配置。基于
802.1x 的动态限速配置与手动限速配置是互斥的，基于 802.1x 的动态限速功能
生效后，禁止任何命令行的限速配置。
如果有用户在线，并且系统已经存在对这些用户的限速配置，那么在 disable 限
速功能时应清除用户限速配置，在 disable 802.1x 服务时，也应清除用户的限
速配置。

有关三层路由引擎的限速配置命令如下：
1．设置三层路由引擎的限速控制
三层路由限速控制的配置命令如下：
config dot1x access-limit route-engine [rate|acl|disable]
根据参数[rate|acl|disable]的不同选项，具体说明如下：

启动基于三层模块的限速功能，输入命令：
config dot1x access-limit route-engine rate
三层路由的限速功能缺省配置时是禁止的，执行上述命令后可以启动三层路由的限
速功能。
启动或停止基于三层模块的访问控制列表功能，输入命令：
config dot1x access-limit route-engine acl
此命令表示启动三层模块的访问控制列表功能，选择这个参数时，需要在交换机上
预先配置好访问控制规则列表，否则执行的 config dot1x access-limit route-engine
acl 命令将不起作用。
基于三层模块的访问控制列表功能与限速功能类似，如果交换机上配有三层路由模
块，那么在启动 802.1x 认证服务后，对认证通过的用户可以打开访问控制功能，对
其访问权限进行控制。在认证过程中，访问控制列表的索引通过 RADIUS Server
的 ACCESS ACCEPT 报文属性带到交换机。如何从属性中接收访问控制列表的索
引，将在后面的 Radius 属性配置中介绍。
禁止三层模块的限速控制功能
使用以下配置命令禁止三层模块的限速控制功能：

22-20
 第 22 章 配置 802.1x

config dot1x access-limit route-engine disable

配置上行端口号
用户的下行流需要绑定用户的上行端口号，此上行端口号是交换机连接上一级网络
设备的端口，该端口号需要手动进行配置，输入命令：
config dot1x uplink-port <portno>
使用以下命令可以取消对上行端口的绑定：
delete dot1x uplink-port <portno>

由于限速功能是通过路由引擎提供，因此只能对经过三层转发
的数据流提供限速，故要求把用户接入端口与上行端口分别配
注意 置在不同的 VLAN 中。

22.3.10 802.1x客户端发现

一般 802.1x 客户端，在用户启动认证之后，先发送 EAPOL-START 报文到交换机，

交换机会为本客户端的连接生成一个 PAE，且改变状态机，使其处于
ASM_ForeceStateStart 状态。然后发送 EAP-Req-id 报文，要求客户端返回 Res-id，
从而开始了 dot1x 的认证过程。
但还有一些 802.1x 客户端软件，不会发送 EAPOL-START 报文，而是处在监听状
态（在使用 802.1x 认证的时候需要配置网络参数），当监听到 EAP-Request-id 报
文的时候，启动客户端程序，发送 EAP-Resp-Id 报文到交换机，开始认证过程。
为了能发现这样的客户端，并触发其认证，可以使用一下两种发现机制:
polling 机制，该机制下，交换机按照配置的时间间隔，定时向网络发送
EAP-Request-id 报文，目的地址为组播地址。当客户机的客户端软件接收到该
Request 报文后，会发送相应的应答报文，进而完成认证过程
MAC 机制，该机制下，交换机不再定时发送 EAP-Request-id 报文，而是等待
客户机发出广播（如 DHCP 请求）或未知单播报文等，触发交换机上的心地址
消息，进而向该客户机发送 EAP-Request-id 报文，目的地址为该客户机的单播
地址。当客户机的客户端软件接收到该 Request 报文后，会发送相应的应答报
文，进而完成认证过程

相关命令
config dot1x client-discovery disable

22-21
第 22 章 配置 802.1x

config dot1x client-discovery polling {<30-3600>}*1

config dot1x client-discovery mac
config dot1x client-logoff time

22.3.11 802.1x客户端代理

802.1x 客户端代理功能是在用户终端不安装 802.1x 客户端软件的情况下，由交换

机代理用户终端完成 802.1x 的认证过程，并根据认证服务器返回的 VLAN 信息，
将用户端口动态加入到指定的 VLAN 中。
用户终端接到交换机的一个端口，交换机学习到用户的 MAC 地址，FDB 模块检查
该端口是否启用了 dot1x client-proxy 功能，如果启用了，则把学习到的新地址发送
个 dot1x client-proxy 模块处理。Dot1x client-proxy 模块收到该新地址，以该新地
址为用户名，以全局配置的 client-proxy 密码为用户密码，模拟一个完整的 802.1x
认证过程，代理用户完成认证。

表22-3 配置 802.1x 客户端代理常用命令

config port dot1x client-proxy 在指定端口上启用或关闭802.1x客户
[enable|disable] 端代理功能
config dot1x client-proxy password 设置802.1x客户端代理认证时的用户
密码
config dot1x client-logoff time 配置基于MAC的客户端发现方式或基
于MAC的动态VLAN功能下，客户端下
线的时间，如果客户端在该时间内一直
没有数据，将自动下线

22-22
 第 22 章 配置 802.1x

22.3.12 用户认证前后，VLAN的动态跳
转

L3

L2(NAS)
VLAN2 VLAN1

认证后
认证前

PC

实现用户认证前后，VLAN 的动态跳转。也就是用户认证前位于 VLAN1 中，认

证通过后，能将用户端口自动加入到 VLAN2 中。
用户认证前后，用户都能访问特定的网络资源。按照标准 802.1x 的实现，用户
认证前不能访问任何网络资源，但该需求要求用户认证前可以访问特定的网络
资源，如可以访问一个 WEB 服务器，从而可以从该服务器下载客户端软件。认
证前后具体可以访问那些资源由上面的上层交换机上的访问策略控制。

相关命令
config port [<portlist>|all] dot1x port-control-mode [mac-based|port-based|
vlan-based]

22.3.13 不同端口分别控制可以接入的用
户数

命令 config dot1x multiple-host-one-port max-host-count <2-512>限制一个端口可

以同时接入用户数，但该功能只能将所有端口都配置相同的用户数限制，不够灵活。
控制不同端口可以配置不同的用户数限制，可以使用命令：config port [<portlist>|all]
dot1x max-host-count <1-512>。

22-23
第 22 章 配置 802.1x

上述两条命令共同使用时，两者中的最小值生效。

22.3.14 按端口流量计费

按端口流量计费，建议一个端口下只接一个用户，如果一个端口下接多个用户，则
每个用户的流量将是这个端口的总流量除以该端口下的用户数。是否启用该功能的
控制命令如下：
config dot1x port-account [enable|disable]
设置流量统计间隔时间命令如下：
config dot1x port-account period <10-65535>

22.4 配置MAC Limit

22.4.1 概述

MAC Limit 提供以下功能：

租用给用户的端口只给指定数量的主机服务，当使用被租用端口通信的主机数量超
过预设定值，就采取特定的处罚措施。
用户使用此功能的时候可以设置某端口的合法用户的名额数和非法用户的名额数，
以及惩罚方式和惩罚时间。
功能启动后，被先发现连接在此端口的动态 MAC，称为合法用户。合法用户名额满
了以后，接着被发现的动态 MAC 称为非法用户。交换机将转发合法用户的帧，而
不转发非法用户的帧。在非法用户的名额也满了以后，如果继续出现新的陌生动态
MAC（称为野 MAC），交换机开始根据设定方式和时间惩罚该端口。惩罚措施是以
下三种中的一种：
不惩罚，交换机会尽量保证合法用户的通信，但是由于非法用户数的增加，此
时交换机会出现丢帧的现象。
关端口一段时间。
关端口的学习功能一段时间。
MAC Limit 执行惩罚的同时，将该端口上的所有在线用户强制下线。

22-24
 第 22 章 配置 802.1x

此功能包括三个命令行，分别起到以下功能：
配置且使能端口 MACLimit 功能
maclimit port [<portlist>|all] on enable <0-128> disable <0-128> pType <0-2>
pTime <0-300>
删除和禁止端口 MACLimit 功能
maclimit port [<portlist>|all] off
查看端口 MACLimit 配置及端口状态
show maclimit port [<portlist>|all]

22.4.2 配置案例

因为 MACLimit 功能单独使用比较清楚，这里只用例子说明在和 802.1x 配合的时候

如何设置 MACLimit 参数，达到特定的运营目的。

案例描述
在校园网的一个学生宿舍网，假设此宿舍登记有四台计算机，某个寝室的接口连在
µ24 交换机的 port 1，可以有如下的管理方式。

1. 案例 1

在 1x 的用户登陆以后，这个宿舍除了 802.1x 认证过的用户，还可以有三台计算机

上网；这三台计算机可以在端口得到转发服务；如果出现更多的陌生的野 MAC（一
个认证用户和三个合法用户之外）
，就会关闭端口学习功能，同时把三个合法用户的
MAC 写成静态的，让这些野 MAC 不能得到转发服务，他们只能通过那 4 台可以得
到转发服务的计算机上网。

配置步骤

步骤1 Harbour(config)# config port 1 dot1x max-host-count 1

Harbour(config)# maclimit port 1 on enable 3 disable 0 pType
0 pTime 30

2. 案例 2

和案例 1 不同的是惩罚措施不同，本案例可以限制宿舍内，除了 802.1x 认证过的用

22-25
第 22 章 配置 802.1x

户，还可以有三台计算机上网，这三台计算机可以在端口得到转发服务；如果交换
机发现，如果出现更多的陌生的野 MAC（一个认证用户和三个合法用户之外），将
会关闭端口学习功能作为惩罚；这样那三台合法用户就都不能再端口得到转发服务，
仅仅只有那台认证过的计算机可以得到服务。惩罚措施对认证过的用户没有效果。

配置步骤

步骤1 Harbour(config)# config port 1 dot1x max-host-count 1

Harbour(config)# maclimit port 1 on enable 3 disable 0 pType
2 pTime 30

3. 案例 3

和案例 2 不同的是这里有 2 个 1x 认证用户。另外在一个认证用户认证后的情况下，

在这个宿舍里面，有两台计算机可以通过在此端口得到转发服务；另外那台计算机
不能在 port1 得到转发服务，只能通过能上网的那些计算机代理上网。
这种模式是不推荐使用的，建议在每端口只能有一个 802.1x 认证用户。

配置步骤

步骤1 Harbour(config)# config port 1 dot1x max-host-count 2

Harbour(config)# maclimit port [<portlist>|all] on enable 2
disable 1 pType 2 pTime 30

4. 案例 4

和上面的 cases 不同的是这里 1x 没有认证的用户都不能直接上网，不能得到转发

服务。在 1x 的用户登陆以后，这个宿舍除了 1x 认证过的用户，还可以有三台计算
机连接到 port1；这三台计算机必须要通过 802.1x 认证过的那台机器代理上网；如
果还有多的计算机连在此端口，此端口将被关闭，所有人包括 802.1x 认证过的用户
都不能上网了。

配置步骤

步骤1 Harbour(config)# config port 1 dot1x max-host-count 1

Harbour(config)# maclimit port [<portlist>|all] on enable 0
disable 3 pType 1 pTime 30

22-26
 第 22 章 配置 802.1x

5. 案例总结

这里的案例 1 和案例 2 对应于前面所说的两种运营模式的第一种，案例 4 对应于那

两种运营模式的第二种。也可以直接将合法用户和非法用户都设置为 0。这样除了
802.1x 用户其他任何 MAC 的出现都将导致端口被惩罚。

22.5 Dot1x与IAD（语音数据集成）
结合使用

Dot1x 与 IAD（语音数据集成）结合的一种应用的逻辑图如下：

交换机上启用 dot1x 认证，tag port 1 为认证端口。以 tag 方式分别属于 VLAN data

与 voice，IAD 上行的数据报文与语音报文可以分别携带不同的 tag，要求在交换机
的 port1 上对指定 VLAN（图中为 voice）的数据不进行限制，允许其自由转发，而
对非指定的 VLAN（图中为 data）的数据，要求只有通过 dot1x 认证后，才能进行
转发。
为实现该功能，可以使用命令 config vlan <name> dot1x authcontrolledvlancontrol
[auto|forceauth]。默认值为 auto，需要认证，如果配置了 forceauth，则该 VLAN
的数据不需要认证即可转发。
Dot1x 与 IAD（语音数据集成）结合的另一种应用的逻辑图如下：

22-27
第 22 章 配置 802.1x

在交换机与 IAD 之间可能会有一些不支持 dot1Q vlan 的设备，不能透传带 tag 的报

文。因此，也就不能用第一种方式处理。由于用户的数据报文由用户的 pc 直接发出，
源 mac 为用户 pc 的 mac，而语音数据从 IAD 打包发出，源 mac 为 IAD 的 mac，
这样，系统可以只允许某些 mac 不认证就可以转发（这里为 IAD 的 mac），其余
mac 发出的包必须经过 dot1x 认证才能被转发（这里为用户 pc 的 mac）。
为此，可以使用允许特定 mac 转发的命令 config mac <mac_addr> <mac_mask>
dot1x authcontrolledmaccontrol [auto|forceauth]。默认值为 auto，对所有 mac 都
不转发，如果配置了 forceauth，则对指定的 mac 或 mac 段进行转发。
其中 mac_addr 可以是一个具体的 mac，也可以是一个 mac 段，如：
mac_addr: 00053b000001
mac_mask:ffffffffffff
则表示一个唯一的 mac；
mac_addr: 00053b000001
mac_mask:ffffffffff00
则表示 00053b000000~00053b0000ff 的一段 mac 地址。

22.6 802.1x显示命令
有关 802.1x 的显示命令如下表所示：

22-28
 第 22 章 配置 802.1x

表22-4 802.1x 显示命令列表

显示命令 描述
show dot1x 显示802.1x功能开启或关闭的状态以及相关的参
数配置信息
show dot1x access-limit 显示基于三层模块的限速及访问控制列表功能的
route-engine 配置信息
show dot1x pae id <id> 根据PAE id索引值显示与之对应的PAE信息
show dot1x pae port <portno> 根据端口号显示与之相关联的所有创建的PAE信
息，以及PAE总数
show dot1x pae username 根据用户名显示与之对应的端口访问实体PAE相
<username> 关信息
show dot1x pae mac <address> 根据MAC地址显示对应的端口访问实体PAE绑定
{port<portno>}*1 的用户MAC地址、Authenticator 状态、后台认证
状态、重认证状态等信息
show port [<portlist>|all] dot1x 显示一组端口对应的802.1x相关信息，包括端口
号、当前创建的PAE实体的个数以及在某一时刻
曾经创建过最多的PAE实体的个数
show dot1x binduser 显示绑定多个端口的用户信息
multi-port-per-user status
show dot1x binduser port 显示某一端口上的用户绑定信息
[<portlist>|all]
show dot1x binduser status 显示全部端口绑定信息
show dot1x binduser user 根据用户名显示端口绑定信息
<username>
show dot1x pae all 显示所有PAE
show dot1x pae isp-domain 根据所在的域显示PAE
<domain>
show dot1x statistic 显示802.1x统计信息
show dot1x vlan <vlanname> pae 根据VLAN显示PAE
show dot1x vlan <vlanname> 显示VLAN中的认证用户数
user-count
show dot1x uplink-port 查看上行端口
show nas accounting-statistic 显示计费统计信息
show nas version 显示NAS版本信息

22.7 命令参考

22.7.1 config dot1x client-discovery

disable

config dot1x client-discovery disable

命令格式

命令功能 关闭 dot1x 客户端发现功能。

22-29
第 22 章 配置 802.1x

命令模式 配置模式

HammerOS(config)# config dot1x client-discovery disable

配置实例

config dot1x client-discovery polling {<30-3600>}*1

相关命令

22.7.2 config dot1x client-discovery

mac

config dot1x client-discovery mac

命令格式

命令功能 配置客户端发现方式为基于用户的新 MAC。

命令模式 配置模式

默认状态 dot1x 客户端发现功能是关闭的。

使用指导
使 用 该 功 能 ， 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意

Harbour(config)# config dot1x client-discovery mac

配置实例

config dot1x client-discovery disable

相关命令

22.7.3 config dot1x client-logoff time

config dot1x client-logoff time <30-65535>

命令格式

命令功能 配置基于 MAC 的客户端发现方式或基于 MAC 的动态 VLAN 功能下，客户

端下线的时间，如果客户端在该时间内一直没有数据，将自动下线。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<30-65535> 时间，单位：秒 60

使用指导 建议该时间配置的相对长一点，以免出现用户频繁认证的现象。

22-30
 第 22 章 配置 802.1x

使 用 该 功 能 ， 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意

配置实例 配置 dot1x client-proxy 的用户用户下线时间为 120 秒：

Harbour(config)# config dot1x client-logoff time 120

config dot1x [enable|disable]

相关命令
config port [<portlist>|all] dot1x port-control-mode
[mac-based|port-based|vlan-based]
show dot1x
show port [<portlist>|all] dot1x

22.7.4 config dot1x client-proxy

password

config dot1x client-proxy password {<string>}*1

命令格式

命令功能 设置 dot1x client-proxy 认证时的用户密码。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<string> 密码字符串 NULL

使用指导 当不输入参数<sting>时，表示清空当前配置的密码。显示该配置，使用命
令：show port [<portlist>|all] dot1x

使 用 该 功 能 ， 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意

配置实例 配置 dot1x client-proxy 的用户密码为“mypass”：

Switch(config)# config dot1x client-proxy password mypass

config dot1x [enable|disable]

相关命令 config port [<portlist>|all] dot1x port-control-mode [mac-based|port-
based|vlan-based]
show dot1x
show port [<portlist>|all] dot1x

22-31
第 22 章 配置 802.1x

22.7.5 config dot1x low-level-switch-

bind

config dot1x low-level-switch-bind [enable | disable]

命令格式

命令功能 配置是否绑定用户直连的交换机的信息。

命令模式 配置模式

参数说明 参数 说明
[enable | disable] 是否绑定

默认状态 不绑定

show dot1x low-level-switch-bind

相关命令

22.7.6 config dot1x polling

config dot1x polling {<30-3600>}*1

命令格式

命令功能 配置客户端发现方式为轮询，并设置系统发送 EAPOL-Request Identifier

报文的时间间隔。

命令模式 配置模式

参数说明 参数 说明 默认配置
<30-3600> 系统发送EAPOL-Request Identifier报文的 30秒
时间间隔

HammerOS(config)# config dot1x polling 60

配置实例

config dot1x client-discover disable

相关命令

22.7.7 config dot1x port-account

config dot1x port-account [enable|disable]

命令格式

命令功能 配置是否启用按端口流量计费功能。

22-32
 第 22 章 配置 802.1x

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 是否启用

默认状态 disable

config dot1x port-account period <10-65535>

相关命令

22.7.8 config dot1x port-account

period

config dot1x port-account period <10-65535>

命令格式

命令功能 配置流量统计的时间间隔。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<10-65535> 流量统计的时间间隔，单位：秒 30

config dot1x port-account [enable|disable]

相关命令

22.7.9 config port dot1x client-proxy

config port [<portlist>|all] dot1x client-proxy [enable|disable]

命令格式

命令功能 在指定端口上启用或关闭 dot1x 的 client-proxy 功能。

命令模式 配置模式

参数说明 参数 说明
[<portlist>|all] 指定端口或所有端口
[enable|disable] 启用或关闭

默认状态 disable

使用指导 此命令只有当 dot1x 使能后才生效。

使用命令 show dot1x 可以显示该配置信息。

22-33
第 22 章 配置 802.1x

使 用 该 功 能 ， 必 须 将 端 口 的 dot1x 控 制 方 式 配 置 为
vlan-based。
注意

配置实例 配置在端口 1－20 上使能 dot1x client-proxy 功能：

Harbour(config)# config port 1-20 dot1x client-proxy enable

config dot1x [enable|disable]

相关命令 config port [<portlist>|all] dot1x port-control-mode
[mac-based|port-based|vlan-based]
show dot1x
show port [<portlist>|all] dot1x

22.7.10 config port dot1x

max-host-count

config port [<portlist>|all] dot1x max-host-count <1-512>

命令格式

命令功能 配置端口允许接入的最大用户数。

命令模式 配置模式

参数说明 参数 说明 缺省配置
[<portlist>|all] 指定端口的列表或所有端口 ——
<1-512> 允许接入的最大用户数 255

使用指导 由于 dot1x 模块原来也有一个配置每个端口上允许接入用户数的命令

"config dot1x multiple-host-one-port max-host-count <2-512>"，相当于
"config dot1x all dot1x max-host-count <1-512>"，当这两个参数同时配置
时，两者中最小的那个生效。

HammerOS(config)# config port 1 dot1x max-host-count 10

配置实例

config dot1x multiple-host-one-port max-host-count <2-512>

相关命令

22.7.11 config port dot1x

port-control-mode

config port [<portlist>|all] dot1x port-control-mode

命令格式 [mac-based|port-based|vlan-based]

22-34
 第 22 章 配置 802.1x

命令功能 配置是否启用客户端免安装功能。

命令模式 配置模式

参数说明 参数 说明
vlan-based 启用免客户端功能

默认状态 disable

22.7.12 show dot1x low-level-switch-

bind

show dot1x low-level-switch-bind

命令格式

命令功能 显示用户直连的交换机的绑定状态。

命令模式 配置模式

config dot1x low-level-switch-bind

相关命令

22.7.13 show dot1x pae ip

show dot1x pae ip <A.B.C.D>

命令格式

命令功能 根据 IP 地址显示 pae 的详细信息。

命令模式 配置模式

参数说明 参数 说明
<A.B.C.D> IP地址

HammerOS(config)# show dot1x pae ip 192.168.1.1

配置实例

22-35
 第 23 章 配置 RADIUS

23 第23章 配置 RADIUS

23.1 Radius认证技术
Radius 的全称为（Remote Access Dail-In User Service），它是对远程拨号用户访
问进行认证的一种协议，是在 Radius Server 和 Radius Client 之间进行认证、授权、
计费的协议标准。认证即辨别用户是谁的过程，通常该过程通过输入有效的用户名
和密码实现；授权是指对完成认证过程的用户授予相应权限，解决他能做什么的问
题，在一些身份认证的实现中，认证和授权是统一在一起的；计费（Accounting）
则是统计用户做过什么的过程，包括用户使用的时间和费用，可通过用户占用系统
的时间、接收和发送的信息量来衡量。
Radius 采用 Client/Server 模型，在 NAS 上运行的是 Client 端，负责将用户信息传
送到指定的 Radius 服务器上，并根据服务器返回的结果进行相应的处理。Radius
服务器包括两种类型：授权认证服务器和计费服务器。授权认证服务器（Radius
Authentication Server）负责接受用户的连接请求、验证用户身份，并返回给客户需
要的相关配置信息。一个授权认证服务器也可以作为 Radius 客户的代理，将其连
接到另一个授权认证服务器。计费服务器（Radius Accounting Server）负责接受用
户计费开始请求和计费结束请求，并实现计费功能。
Radius 具有以下属性：
Radius 以 Client/Server 模式工作，实现了对远程用户的身份认证、授权和计费
功能。
Radius Client 主要用来将用户信息传递给 Radius Server；Server 则对用户进
行认证，并返回用户的配置信息。
为保证传输的安全性，在 Client 和 Server 之间传送的数据均以 MD5 方式加密。
认证具有灵活性。采取多种认证机制，包括 PAP 和 CHAP。

23.2 Radius配置命令
当交换机从用户连接请求报文中提取出与用户相关的属性之后，重新组装成 Radius
格式报文，并与 Radius Server 通信以完成后续的认证、计费功能。

23-1
第 23 章 配置 RADIUS

23.2.1 配置Radius认证服务

认证服务器（Authentication Server）具有如下属性：
认证服务器通过 ID 号进行标识。NAS 包含一个认证服务器列表，当 NAS 发送
认证请求时，它从列表中选择最先添加的且处于可用状态的认证服务器，或者
选择由用户指定的认证服务器。因此在配置某个认证服务器时，必须将该服务
器加入到列表中，如果不再使用某个认证服务器了，可以将它从列表中删除。
添加新的认证服务器时，如果指定的 ID 号在服务器列表中已经存在，若仍要在
新的认证服务器上使用这个 ID，需要先删除使用该 ID 的认证服务器，然后再加
入新的认证服务器。
server-ip 是认证服务器的 IP 地址。
client-ip 是 Radius Client 的 IP 地址，即交换机上连接认证服务器的端口所对应
的 IP 地址。
udp-port 端口号，Radius Server 和 Radius Client 通过 UDP 发送数据包，对于
认证服务器而言，这个端口号默认为 1812。

1．启动/关闭 Radius 认证功能

启动 Radius 认证功能，使用以下配置命令：
radius authentication enable

关闭 Radius 认证功能，使用以下配置命令：
radius authentication disable

2．增加 Radius 认证服务器

增加 Radius 认证服务器的配置命令如下：
radius authentication add-server id <0-4> server-ip <A.B.C.D> client-ip
<A.B.C.D> {udp-port <1-6500>}*1

增加一个 Radius 认证服务器，设置其 ID 号为 0～4 之一，也就是说系统最多可以

设置五个认证服务器，并且要指明认证服务器的 IP 地址和 UDP 端口（默认值为
1812）。另外还要说明使用该认证服务器的客户端（client）的 IP 地址。

23-2
 第 23 章 配置 RADIUS

例如，增加一个 Radius 认证服务器，设其 ID 号为 1，IP 地址为 110.12.21.1，Radius

Client 的 IP 地址为 110.12.21.2
Harbour(config)# radius authentication add-server id 1 server-ip 110.12.21.1
client-ip 110.12.21.2

3．删除 Radius 认证服务器

删除某个认证服务器时只要说明其索引号即可，配置命令如下：
radius authentication delete-server id <0-4>

4．设置共享密钥
考虑到网络传输的安全性，传递的报文都是经过加密算法封装过的，配置某个认证
服务器 Radius Server 和其 Radius Client 之间的共享密钥<secret>，将该字符串放
到 md5 算法中和其它数据一同参与计算，可以使用以下配置命令：
radius authentication config-server id <0-4> shared-secret {<secret>}*1
其中，<0-4>为 Radius Server 的索引值，<secret>为共享密钥，当输入的参数
{<secret>}*1 为空时，密码将恢复为缺省值“harbour”。

5．设置重传时间间隔
当设备 Radius Client 向 Radius Server 发出请求的一段时间之后没有得到 Radius
Server 的应答，Radius Client 可以向 Radius Server 重传数据包，重传数据包的时
间间隔默认值为 10 秒，可以使用以下配置命令设置这个间隔：
radius authentication config-server id <0-4> retransmit-interval <5-300>
其中，<0-4>为 Radius Server 的索引值，<5-300>为重传时间间隔的取值范围，单
位为秒。

6．设置重传的最大次数
当 Radius Client 需要向 Radius Server 重传数据包时，应配置 Radius Client 重传
该数据包的最大次数，默认值为 3 次，可以使用以下配置命令：
radius authentication config-server id <0-4> max-retransmit-count <2-10>
其中，<0-4>为 Radius Server 的索引值，<2-10>为最大重传次数。

23-3
第 23 章 配置 RADIUS

7．设置最大重传丢弃数
该参数用于判断 Radius Server 是否断掉。当 Radius Client 按上述规定的重传次数
完成重传后，若仍未收到 Radius Server 的回复，则丢弃数据包，系统记录一次重
传丢弃。当丢弃数超过所设置的最大重传丢弃数时，则认为 Radius Server 连接已
断。利用以下命令设置最大重传丢弃数：
radius authentication config-server id <0-4> max-retransmit-drop-count <2-30>
其中，<0-4>为 Radius Server 的索引值，<2-30>为最大重传丢弃数。

8．设置最大发送失败数
该参数用于判断 Radius Server 是否断掉。如果 Radius Client 有超过最大发送失败
数的包没有发送成功，则表明该 Radius Server 的连接已断。利用以下命令设置最
大发送失败数：
radius authentication config-server id <0-4> max-send-fail-count <2-30>
其中，<0-4>为 Radius Server 的索引值，<2-30>为最大发送失败数。

9．设置认证服务器的当前状态
Radius 认证服务器具有三种状态：active、inactive、dead，这三种状态各自表示的
意义说明如下：
表23-1 Radius 认证服务器的三种状态
状态 描述
active 处于此状态的认证服务器能够与交换机一起完成正常的授权认证功能。
inactive 处于此状态的认证服务器不执行认证功能，但交换机仍会定期向该服务器
发送检测报文，以便等待随时在需要的时候将服务器的状态改成active。
dead 处于此状态的认证服务器不执行认证功能，交换机也不向该服务器发送检
测报文。dead状态出现在具有多台备份服务器的情况下。

认证服务器状态的改变由系统根据实际情况和需要自动完成，可以使用 show radius

命令查看服务器的当前状态。用户也可以通过手动配置的方式将当前状态为 inactive
或 dead 的认证服务器设置成 active 状态，配置命令如下：
radius authentication config-server id <0-4> status active

23-4
 第 23 章 配置 RADIUS

23.2.2 配置Radius计费服务

1．启动/关闭 Radius 计费功能

启动 Radius 计费功能，使用以下配置命令：
radius accounting enabled

关闭 Radius 计费功能，使用以下配置命令：
radius accounting disable

2．增加 Radius 计费服务器

增加一个 Radius 计费服务器，设置其 ID 索引号为 0~4 之一，也就是说系统最多可
设置五个计费服务器，其中以最先添加的计费服务器作为主计费服务器，或者由用
户指定主计费服务器。此外，还要指明增加的计费服务器 的 IP 地址和 UDP 端口（默
认值为 1813），以及使用该计费服务器的 Radius Client 的 IP 地址。使用以下配置
命令：
radius accounting add-server id <0-4> server-ip <A.B.C.D> client-ip <A.B.C.D>
{udp-port <1-6500>}*1
例如，增加一个 Radius 计费服务器，设其 ID 号为 1，IP 地址为 110.12.21.1，Radius
Client 的 IP 地址为 110.12.21.2
Harbour(config)# radius accounting add-server id 1 server-ip 110.12.21.1
client-ip 110.12.21.2

3．删除 Radius 计费服务器

删除某个计费服务器时只要说明其索引号即可，配置命令如下：
radius accounting delete-server id <0-4>

4．设置共享密钥
考虑到网络传输的安全性，传递的报文都是经过加密算法封装过的，配置某个计费
服务器 Radius Server 和其 Radius Client 之间的共享密钥<secret>，将该字符串放
到 md5 算法中和其它数据一同参与计算，可以使用以下配置命令：
radius accounting config-server id <0-4> shared-secret {<secret>}*1

23-5
第 23 章 配置 RADIUS

其中，<0-4>为 Radius Server 的索引值，<secret>为共享密钥，当输入的参数

{<secret>}*1 为空时，密码将恢复为缺省值“harbour”。

5．设置重传时间间隔
当 Radius Client 向 Radius Server 发出请求的一段时间之后没有得到 Radius
Server 的应答，Radius Client 可以向 Radius Server 重传数据包，重传数据包的时
间间隔默认值为 10 秒，可以使用以下配置命令设置这个间隔：
radius accounting config-server id <0-4> retransmit-interval <5-300>
其中，<0-4>为 Radius Server 的索引值，<5-300>为重传时间间隔的取值范围，单
位为秒。

6．设置最大重传次数
Radius Client 向 Radius Server 发送数据包，并等待 Radius Server 的应答。如果
在指定的时间（即重传时间间隔）内没有得到应答，Radius Client 会给计数器加 1，
并重传数据包，直到它得到 Radius Server 的应答、或计数器的值达到您所设定的
最大重传次数为止。
最大重传次数的默认值为 3 次，可以使用以下命令配置：
radius accounting config-server id <0-4> max-retransmit-count <2-10>
其中，<0-4>为 Radius Server 的索引值，<2-10>为最大重传次数。

7．设置最大重传丢弃数
该参数用于判断 Radius Server 是否断掉。当 Radius Client 重传数据包的次数达到
上述设定的最大重传次数时，若仍未收到 Radius Server 的回复，则丢弃数据包，
并给计数器加 1。当计数器的值达到您所设定的最大重传丢弃数时，Radius Client
认为 Radius Server 连接已断。
可以使用以下命令配置最大重传丢弃数：
radius accounting config-server id <0-4> max-retransmit-drop-count <2-30>
其中，<0-4>为 Radius Server 的索引值，<2-30>为最大重传丢弃数。

8．设置最大发送失败数
该参数用于判断 Radius Server 是否断掉。当 Radius Client 发送数据失败时，它会

23-6
 第 23 章 配置 RADIUS

给计数器加 1。当计数器的值达到您所设定的最大发送失败数时，Radius Client 认

为 Radius Server 连接已断。
利用以下命令设置最大发送失败数：
radius accounting config-server id <0-4> max-send-fail-count <2-30>
其中，<0-4>为 Radius Server 的索引值，<2-30>为最大发送失败数。

9．设置计费服务器的当前状态
Radius 计费服务器具有三种状态：active、inactive、dead，这三种状态各自表示的
意义说明如下：
表23-2 Radius 计费服务器的三种状态
状态 描述
active 处于此状态的计费服务器能够与交换机一起完成正常的计费功能。
inactive 处于此状态的计费服务器不执行计费功能，但交换机仍会定期向该服
务器发送检测报文，以便等待随时在需要的时候将服务器的状态改成
active。
dead 处于此状态的计费服务器不执行计费功能，交换机也不向该服务器发
送检测报文。dead状态出现在具有多台备份服务器的情况下。

计费服务器状态的改变由系统根据实际情况和需要自动完成，可以使用 show radius

命令查看服务器的当前状态。用户也可以通过手动配置的方式将当前状态为 inactive
或 dead 的计费服务器设置成 active 状态，配置命令如下：
radius accounting config-server id <0-4> status active

使能计费服务、或修改服务器的某些属性时，必须先强制用户
下线，并重新登录，这些设置才会生效。
注意

23.2.3 设置Radius CUT功能

Radius CUT 是指由 Radius Server 主动发起断开与用户连接的信息。当 Radius

Server 由于某种原因要求用户下线时，向认证系统（交换机）发送一种 Radius 格
式的请求报文（CUT）。交换机在指定的 UDP 端口处监听该请求，一旦收到 CUT
请求，便按照以下步骤执行处理过程：
第一步：根据配置命令进行合法性检查。

23-7
第 23 章 配置 RADIUS

通过命令行的配置，选择使用 CUT 报文中的 AUTHENTICATOR 字段进行报文的合

法性检查，或者使用 MESSAGE AUTHENTICATOR 属性字段进行报文的合法性检
查。Hammer 交换机采用和 Radius Server 相同的标准协议算法重新计算
AUTHENTICATOR 字段或 MESSAGE AUTHENTICATOR 属性字段，当计算结果
与 CUT 报文相一致时，认为其合法，否则丢弃该 CUT 报文。使用这种机制时，不
必重新认证便可由交换机直接切断与用户的连接。当然这要求配置人员必须首先了
解 Radius Server 发出的 CUT 报文格式才能进行相应的配置。

第二步：按照相关属性定位用户。
如果没有找到对应用户，则说明该用户不在线，将不予处理；如果找到对应的用户，
则根据配置命令使用以下其中一种方法切断 Radius Server 与 Radius Client 的连
接：
启动重认证机制，由 Radius Server 发送 RADIUS_ACCESS_REJECT 报文拒
绝用户的认证请求。
由交换机自动设置直接切断该用户。

默认配置下，为了保证网络的安全，交换机不检测报文的合法
性便直接断开与用户的连接，从而避免受到非法 CUT 报文的攻
注意 击。

网络中可能存在多个 Radius Server，包括认证服务器和计费服务器，可以设置交换

机只处理某些服务器发出的 CUT 请求。
因此在交换机中设置一个 CUT Server 列表，
在此列表中存放着这些 Server 的信息。
有关 Radius CUT 功能的配置命令具体如下：
1．启动/关闭接收 CUT 报文功能
启动接收 CUT 报文功能，使用以下命令：
radius cut enable
关闭接收 CUT 报文功能，使用以下命令：
radius cut disable
2．向列表中增加/删除认证服务器
向列表中增加一个认证服务器，使用以下命令：
radius cut add-server authentication id <0-4>{udp-port <1-6500>}*1

23-8
 第 23 章 配置 RADIUS

从列表中删除一个认证服务器，使用以下命令：
radius cut delete-server authentication id <0-4>
Hammer 系列交换机可为每个域最多设置 5 个认证服务器，id <0-4>代表认证服务
器的索引号。
3．向列表中增加/删除计费服务器
向列表中增加一个计费服务器，使用以下命令：
radius cut add-server accounting id <0-4> {udp-port <1-6500>}*1
从列表中删除一个计费服务器，使用以下命令：
radius cut delete-server accounting id <0-4>
Hammer 系列交换机可为每个域最多设置 5 个计费服务器，id <0-4>代表计费服务
器的索引号。
4．设置校验 CUT 报文的方式
CUT 报文的合法性校验默认是关闭的，可以通过以下命令行配置以何种方式校验
CUT 报文的合法性：
radius cut verify-by [authenticator|message-authenticator|none]
参数 authenticator 表示校验 CUT 报文的 authenticator 字段
参数 message-authenticator 表示校验 CUT 报文的 message-authenticator 属性
参数 none 表示不校验 CUT 报文
5．设置处理 CUT 请求机制
Hammer 交换机具有两种处理 CUT 报文的机制：启动重认证机制和直接切断与用
户连接机制：
radius cut process-by [reauthentication|logoff]
参数 reauthentication 表示启动重认证机制处理 CUT 请求；参数 logoff 表示直接断
开与用户的连接。默认为直接断开连接。

23.2.4 配置Session Timeout处理机制

Session Timeout 是 Radius Server 通过 Access Accept 报文传递的一个属性，在

RFC2866 中它的含义是授权用户本次接入服务的时间，如果该时间到达，就停止用
户的接入服务，强制用户下线。港湾网络公司 Hammer 系列交换机的接入模块对这
一属性进行了扩展，使得该属性既可以按照 RFC2866 中的标准使用，也可以将该
属性解释为服务器希望对用户进行重认证，Session Timeout 的值为重认证的时间

23-9
第 23 章 配置 RADIUS

间隔。
配置命令如下：
radius accounting session-timeout-type [logoff|reauthenticate]
选择 logoff 表示按照 RFC2866 标准对 Session Timeout 进行处理；选择
reauthenticate 表示按照设置的重认证时间间隔由服务器对用户进行重认证。默认选
项为 logoff。

23.2.5 配置Radius Server主备切换功能

Hammer 系列交换机可为每个域最多设置 5 个 Radius 服务器（在主备服务器环境

下一般为两个可用的服务器，一个为主用，一个为备用），如果正在使用的 Radius
主用服务器断掉，可以切换到备用的 Radius 服务器。其中的切换功能包括以下内
容：
提供对正在认证的用户的处理。认证服务器发生切换时，可以让正在认证的用
户不等待原来的认证请求，立即重新在备用服务器进行重认证；计费服务器发
生切换时，可以让正在发送的计费请求不等待回复而重新发送计费请求到备用
的计费服务器。
提供对已经认证通过的用户的处理。可以让已经认证通过的用户在认证服务器
发生主备切换时在备用的服务器上重认证；也可以使主备切换对已经认证的用
户透明，即不用重认证便可让用户继续使用接入服务。
提供对切换的 Radius 服务器的可用状态的检测功能。可以定期检测断掉的原服
务器的可用状态，如果原服务器恢复为可用状态，可以自动将原服务器设为备
用服务器，或通过命令切换到主服务器。
提供通过命令行切换主备 Radius 服务器的功能，使得在主用和备用服务器之间
通过人为命令实现切换。

1．使能/禁止 Radius Server 主备切换功能

配置命令如下
radius [accounting|authentication] server-switch [enable|disable]
选择 accounting 参数表示可以使能/禁止计费服务器的主备切换功能，选择
authentication 参数表示可以使能/禁止认证服务器的主备切换功能。缺省配置为
disable。

23-10
 第 23 章 配置 RADIUS

2．设置是否将主备切换信息通知给 dot1x 模块
在发生 Radius 服务器主备切换时，可以设置是否将此信息通知给 dot1x 模块。如果
通知 dot1x 模块，就会让已经认证的用户通过备用服务器进行重认证；如果不通知
dot1x 模块，Radius 服务器主备切换对已经认证的用户是透明的，不会进行重认证。
使用以下命令来配置发生 Radius 服务器主备切换时是否通知 dot1x：
config radius serverswitch-notify [enable|disable]

23.2.6 传递用户信息到RADIUS

可以将用户的动态 IP 地址、网关地址、子网掩码、DHCP 服务器地址、是否启用了

IE 代理、IE 代理的详细信息等传递到 RADIUS 服务器，该功能需要客户端软件支
持。
在二层交换机上，由于没有 DHCP Relay 功能，当需要把用户的动态 IP 地址传给
RADIUS 服务器时，需要在 domain 中配置：start account need ip。

23.2.7 Console与telnet远程认证

该功能的目的是将设备管理的帐号密码进行统一、集中管理。从而降低管理难度。
功能说明如下：
超级用户帐号（admin）只能在本地认证，无论是否配置了需要远程认证，在只
读模式输入 enable，不需要输入密码就可以直接进入配置模式，如果需要密码
请执行配置命令 config login-auth enable。
远程认证只支持 PAP 认证。
由于用户的认证方式在我们的域（domain）中配置，域中的默认认证方式为
eap-md5，远程认证默认使用缺省域中的服务器进行认证，因此，如果使用缺
省配置，需要修改 default 域的认证方式为 pap。但当使用 802.1x 接入功能时，
用户一般都通过缺省域 default 认证，并且认证方式一般要求为 eap-md5，这样
就与我们的 Console 与 telnet 远程登录要求的认证方式冲突，因此，建议为
Console 与 telnet 远程认证单独创建一个域，并指定 Console 与 telnet 远程认
证通过该域的服务器进行，当然这个域可以使用与 default 域相同的服务器。
在 radius 服务器上创建帐号时，需指定用户时管理员还是普通用户，管理员可
进入设备的 config 节点，而普通用户只能进入 view 节点。并且 radius 服务器应
能够将用户的级别信息通过 radius 标准属性 6（service-type）返回，service-type

23-11
第 23 章 配置 RADIUS

等于 6（Administrative）表示管理员帐号，service-type 等于 7（NAS Prompt）

表示普通帐号。
管理员帐号（非 admin），通过远程 radius 认证后，输入 enable，而不需要输
入密码就可以直接进入配置模式。但非管理员帐号通过远程 radius 认证后，输
入 enable，会被提示无权进入配置模式，而只能进入只读模式。
超级用户帐号
（admin）通过 console 登录，
并且配置了不需要 enable 密码（config
login-auth disable），则登录后不需要输入 enable 密码，否则需要输入 enable
密码。

23.2.8 配置Radius属性

1. 配置 Radius 属性的类型

用作网络访问设备（NAS）的交换机通过 Radius 报文同 Radius 服务器通信，Radius

报文中的属性用来传递认证、授权和计费的详细信息。我们现在的 NAS 版本中使用
的属性主要指在 RFC2865、RFC2866、RFC2869 中规定的标准属性，另外还包括
一些用户可以配置的自定义属性以传递一些我们需要的用户参数，包括用户的带宽、
优先级以及 vlanid，这里我们介绍的配置 Radius 属性主要涉及配置自定义属性。
用户认证过程中，认证系统将用户的一些特征信息，通过认证请求报文传递给
Radius 服务器；用户认证通过后，Radius 服务器将一些用户配置参数通过
access-accept 报文传递给 Radius Client。其中包括用户的上下行带宽、优先级，
以及用户进出的 vlanid。Radius Client 从属性中提取出配置参数，并对用户作相应
的处理。具体使用哪些属性来携带这些参数，不同的厂商可能有不同的要求，考虑
到这种情况，我们能够做到根据厂商的要求利用命令行进行灵活配置。由于这些参
数的取值为数值形式，因此我们要求 Radius 服务器相关属性值的类型应为
INTEGER，而不要使用 STRING 或 TEXT 类型。
属性的配置有两种方式：
配置使用标准属性。所谓标准属性是指 RFC2865 中规定的属性，属性类型占一
个字节，因此可以有 1～255 种属性。Radius RFC 规定了大部分属性的含义，
用于传递认证和计费信息。但实际应用中有很多属性是不使用的，因此可用来
携带自定义的用户参数，实际上也就改变了该属性的原有含义。比如（在后面
的配置实例中）我们可以使用标准属性 Framed-MTU 携带用户的上行带宽，而
Framed-MTU 在 RFC2865 中定义为用户的最大传输单元值。
配置使用 26 号属性——厂商自定义属性。26 号属性的定义参见 RFC2865，厂
商自定义属性 Vendor Specific attribute 用于不同的厂商接收自己定义的参数，

23-12
 第 23 章 配置 RADIUS

因此系统默认从 26 号 vendor-specific 属性中接收配置参数。

使用标准属性携带用户参数

使用标准属性携带 Radius 服务器返回的上下行带宽信息，配置命令如下：

radius config-attribute access-bindwidth [uplink|downlink] standard <1-255>
其中，standard<1-255>是设置从标准属性类型<1-255>中的哪个属性返回上下行带
宽信息。

使用标准属性携带 Radius 服务器返回的用户 ACL ID 信息，配置命令如下：

radius config-attribute filter-id standard <1-255>
其中，standard<1-255>是设置从标准属性类型<1-255>中的哪个属性返回用户的
ACL ID 信息。

使用标准属性向 Radius 服务器传递用户的 VLAN IP 信息，配置命令如下：

radius config-attribute vlan-ip standard <1-255>
其中，standard<1-255>是设置从标准属性类型<1-255>中的哪个属性返回用户的
VLAN IP 信息。

使用标准属性向 Radius 服务器传递用户的端口反查信息，配置命令如下：

radius config-attribute path-track standard <1-255>
其中，standard<1-255>是设置从标准属性类型<1-255>中的哪个属性返回端口反查
信息。
端口反查信息用于记录用户从哪台设备的哪个端口接入网络，便于对用户进行跟踪
管理。

使用标准属性向 Radius 服务器传递用户的 VLAN ID 信息，配置命令如下：

radius config-attribute vlan-id standard <1-255>
其中，standard<1-255>是设置从标准属性类型<1-255>中的哪个属性携带 VLAN ID
信息。

23-13
第 23 章 配置 RADIUS

使用标准属性向 Radius 服务器传递用户的 MAC 信息，配置命令如下：

radius config-attribute source-mac standard <100-255>
缺省值为 100，不携带该属性。

使用 26 号厂商自定义属性携带用户参数

使用 26 号厂商自定义属性携带 Radius 服务器返回的上下行带宽信息，配置命

令如下：
radius config-attribute access-bindwidth [uplink|downlink] Vendor-Specific
<VendorType> {<VendorId>}*1
Vendor-Specific 表示通过标准的厂商属性返回用户的上下行带宽信息，标准的厂商
属性为 26；
<Vendortype>表示厂商自定义类型，缺省配置下，上行带宽的 VendorType 为 1，
下行带宽的 VendorType 为 2；
VendorId 是 SMI 分配的厂商代码，默认值为 8212(港湾网络有限公司)。

使用 26 号厂商自定义属性携带 Radius 服务器返回的用户 ACL ID 信息，配置命

令如下：
radius config-attribute filter-id Vendor-Specific <VendorType> {<VendorId>}*1

Vendor-Specific 表示通过标准的厂商属性返回用户的 ACL ID 信息，标准的厂商属

性为 26；
<Vendortype>表示厂商自定义类型，缺省配置下，用户 ACL ID 的 VendorType 为 7；
VendorId 是 SMI 分配的厂商代码，默认值为 8212(港湾网络有限公司)。

使用 26 号厂商自定义属性向 Radius 服务器传递用户 VLAN IP 信息，配置命令

如下：
radius config-attribute vlan-ip Vendor-Specific <VendorType> {<VendorId>}*1
Vendor-Specific 表示通过标准的厂商属性返回用户的 VLAN IP 信息，标准的厂商属
性为 26；
<Vendortype>表示厂商自定义类型，缺省配置下，用户 VLAN IP 的 VendorType 为

23-14
 第 23 章 配置 RADIUS

31；
VendorId 是 SMI 分配的厂商代码，默认值为 8212(港湾网络有限公司)

使用 26 号厂商自定义属性向 Radius 服务器传递端口反查信息，配置命令如下：

radius config-attribute path-track Vendor-Specific <VendorType> {<VendorId>}*1
Vendor-Specific 表示通过标准的厂商属性返回端口反查信息，标准的厂商属性为
26；
<Vendortype>表示厂商自定义类型，缺省配置下，端口反查的 VendorType 为 33；
VendorId 是 SMI 分配的厂商代码，默认值为 8212(港湾网络有限公司)。

使用 26 号厂商自定义属性向 Radius 服务器传递用户的 VLAN ID 信息，配置命

令如下：
radius config-attribute vlan-id Vendor-Specific <VendorType> {<VendorId>}*1
Vendor-Specific 表示通过标准的厂商属性返回用户的 VLAN ID 信息，标准的厂商
属性为 26；
<Vendortype>表示厂商自定义类型，缺省配置下，用户 VLAN ID 的 VendorType 为
32；
VendorId 是 SMI 分配的厂商代码，默认值为 8212(港湾网络有限公司)。

2. 恢复 Radius 属性类型的默认值

当用户不希望设置 Radius 属性类型的值，而想要使用属性的默认值时，可按照以

下命令进行配置：
设置上下行带宽属性类型的默认值
radius config-attribute access-bandwidth [uplink|downlink] default-value
上行带宽属性类型的默认值为使用标准厂商属性 26，厂商自定义类型 1；下行带宽
属性类型的默认值为标准厂商属性 26，厂商自定义类型 2。

设置访问控制列表属性类型的默认值
radius config-attribute filter-id default-value
访问控制列表属性类型的默认值为标准厂商属性 26，厂商自定义类型 7

23-15
第 23 章 配置 RADIUS

设置端口反查属性类型的默认值
radius config-attribute path-track default-value
端口反查属性类型的默认值为标准厂商属性 26，厂商自定义类型 33

设置 VLAN ID 属性的默认值
radius config-attribute vlan-id default-value
VLAN Id 属性类型的默认值为标准厂商属性 26，厂商自定义类型 32

设置 VLAN IP 属性的默认值
radius config-attribute vlan-ip default-value
VLAN IP 属性类型的默认值为标准厂商属性 26，厂商自定义类型 31

设置 frame-protocol 属性的默认值
radius config-attribute frame-protocol default

设置 frame-protocol 属性的默认值
radius config-attribute nas-port-type default

恢复所有可配置的 Radius 属性类型的默认值

radius config-attribute all default-value

3. 配置 Radius 属性的值

由于在不同的网络环境下，不同的 Radius 服务器对某些 Radius 属性的具体值要求

不同，如一些窄带的 Radius 服务器要求 frame-protocol 的值必须为 PPP，这使我
们和它对接时，必须把该属性值设为 PPP。为了适应不同 Radius 服务器的要求，港
湾网络公司的 Hammer 系列交换机提供了对这类属性值的配置功能。
配置 Radius 属性的值：
配置 frame-protocol 的值，配置命令如下：
radius config-attribute frame-protocol <0-255>
<0-255>为 frame-Protocol 的值，该值与协议的对应关系如下：

23-16
 第 23 章 配置 RADIUS

属性值<0-255> 对应协议
1 PPP
2 SLIP
3 AppleTalk Remote Access Protocol (ARAP)
4 Gandalf proprietary SingleLink/MultiLink protocol
5 Xylogics proprietary IPX/SLIP
6 X.75 Synchronous

当 frame-protocol 的属性值设置为 0 时，表示报文中不携带 frame-protocol 属性。

配置 nas-port-type 属性的值（nas-port-type 也是 Radius 属性之一），配置命令如
下：
radius config-attribute nas-port-type <0-255>

<0-255>为 nas-port-type 的值，该值与 NAS 端口类型的对应关系如下：

属性值<0-255> NAS 端口类型
0 Async
1 Sync
2 ISDN Sync
3 ISDN Async V.120
4 ISDN Async V.110
5 Virtual
6 PIAFS
7 HDLC Clear Channel
8 X.25
9 X.75
10 G.3 Fax
11 SDSL - Symmetric DSL
12 ADSL-CAP - Asymmetric DSL, Carrierless Amplitude Phase
Modulation
13 ADSL-DMT - Asymmetric DSL, Discrete Multi-Tone
14 IDSL - ISDN Digital Subscriber Line
15 Ethernet
16 xDSL - Digital Subscriber Line of unknown type
17 Cable
18 Wireless - Other
19 Wireless - IEEE 802.11

显示 Radius 属性值的配置：
show radius config-attribute frame-protocol
show radius config-attribute nas-port-type

23-17
第 23 章 配置 RADIUS

4. 配置 Radius 服务器返回带宽值的单位

Radius 服务器返回的带宽值可以选择两种单位表示方法：bps 和 kbps，具体配置命

令如下：
radius config-attribute access-bandwidth unit [bps|kbps]
选择 bps 表示 Radius 服务器返回带宽值的单位为 bps，选择 kbps 表示 Radius 服
务器返回带宽值的单位为 kbps。系统默认为 bps。
例如：配置 Radius 服务器返回带宽值的单位为 kbps
Harbour(config)# radius config-attribute access-bandwidth unit kbps

23.2.9 配置实例

1. 实例 1：

打开 Radius 的认证功能，同时增加一个 Radius 认证服务器，该服务器的 IP 地址

为 10.7.1.9，客户端的 IP 地址是 10.7.1.253，端口号 1812。设服务器与客户端的
共享密钥为”xyzzy5461”。设置允许客户端向认证服务器重传报文的时间间隔为 5
秒，最大重传次数为 2 次，最大发送失败次数为 2 次，最大重传丢弃次数为 2 次。
具体配置步骤如下：

Harbour(config)# radius authentication enable

Harbour(config)# radius authentication add-server id 0 server-ip 10.7.1.9
client-ip 10.7.1.253 udp-port 1812
Harbour(config)# radius authentication config-server id 0 shared-secret
xyzzy5461
Harbour(config)# radius authentication config-server id 0 retransmit-
interval 5
Harbour(config)# radius authentication config-server id 0 max-retransmit-
count 2
Harbour(config)# radius authentication config-server id 0 max-send-fail-
count 2
Harbour(config)# radius authentication config-server id 0 max-retransmit-
drop-count 2

2. 实例 2：

删除 ID 为 0 的 Radius 认证服务器，并关闭 Radius 的认证功能。配置步骤如下：

Harbour(config)# radius authentication delete-server id 0

harbour(config)# radius authentication disable

23-18
 第 23 章 配置 RADIUS

3. 实例 3：

将上行带宽使用标准属性带回，将下行优先级使用 26 号属性带回，VendorType = 1,
VendorId = 8212

harbour(config)# radius config-attribute access-bandwidth uplink standard

12
harbour(config)# radius config-attribute access-bandwidth downlink
vendor-specific 1

由于 VendorId=8212 是默认配置，所以在命令设置中可以省略。

23.3 Radius显示命令
有关 Radius 信息的显示命令如下表所示：
表23-3 Radius 显示命令列表：
显示命令 功能描述
show radius [accounting|authentication] 显示Radius认证或计费服务器的主备倒换功
server-switch 能是否启用
show radius accounting 显示计费服务器的Session Timeout类型
session-timeout-type
show radius cut process-way 显示CUT请求处理机制
show radius cut verify-way 显示CUT报文校验方式
show radius idpool 显示Radius服务器ID号的使用情况，用于调试
show radius {configuration}*1 显示Radius配置信息
show radius config-attribute 显示Frame-Protocol属性的值
frame-protocol
show radius config-attribute nas-port-type 显示Nas-Port-Type属性的值
show radius config-attribute 显示Radius服务器返回带宽值的单位
bandwidth-unit
show radius custom-attributes 显示Radius属性类型

23.4 配置域
在 Hammer 系列交换机的接入模块中，我们引入了域（isp-domain）的概念。不同
的域可能由不同的 ISP 经营。接入设备根据用户输入的用户名中的域名部分（用户
名@域名）来区分用户所属的域，并将其认证和计费请求发送到相应域的认证服务
器和计费服务器。
建立了域的概念以后，当我们在系统中增加 Radius 服务器时，必须将其分配给相

23-19
第 23 章 配置 RADIUS

应的域才能使用。系统中缺省包含一个名为 default 的域，如果不创建新的域，所有

的认证计费服务器均属于这个 default 域，系统将所有的用户认证请求都发送到
default 域中的 Radius 认证服务器。
如果要删除一个域，应首先将属于该域的 Radius 服务器从域中删除。

默认域 default 不能删除。

注意

23.4.1 域的基本配置

有关域的基本配置命令具体如下：
创建域
create isp-domain <domain>
其中<domain>为所创建的域的域名

删除域
delete isp-domain <domain>
其中<domain>为所要删除的域的域名

配置是否将完整的用户名发送给 Radius 服务器

完整的用户名表现为“用户名@域名”，当选择发送不完整的用户名时表示去掉用户
名后面的域名部分。配置命令如下：
config isp-domain <domain> username [complete|incomplete]
选择 complete 表示将完整的用户名发送给 Radius 服务器；选择 incomplete 表示发
送不带域名的用户名。缺省配置为 complete。
例如用户输入的用户名和域名为 abc@domain，若配置为发送完整的用户名和域名，
则将 abc@domain 作为用户名发送给 Radius 服务器；若使用不完整的用户名，则
只将 abc 作为用户名发送给 Radius 服务器。

配置客户端软件升级的 URL
在设置通过 URL 升级客户端软件之前，应使用以下命令使能该功能：

23-20
 第 23 章 配置 RADIUS

config isp-domain <domain> supplicant-upgrade force-upgrade [enable|disable]

然后配置客户端软件升级的 URL，配置命令如下：
config isp-domain <domain> supplicant-upgrade url <supp_upgrade_url|NULL>
当通过以上命令在交换机上配置了客户端软件升级的 URL 后，当用户认证通过时，
交换机将客户端软件升级的 URL 返回给客户端，用户可以用该 URL 升级自己的客
户端软件。
注意：参数<url> 必须是完整的路径加完整的文件名，默认为 NULL。

23.4.2 域的认证配置

向域中添加/删除认证服务器
config isp-domain <domain> authentication [add-server|delete-server] id <id>
add-server 表示向名为<domain>的域添加认证服务器，delete-server 表示从名为
<domain>的域删除认证服务器。
由于一个域可以包含多个认证服务器，因此需要指定每个认证服务器的 ID 标识
<id>。

启动/禁止域内的 Radius 认证功能

config isp-domain <domain> authentication [enable|disable]
启动或停止某个域的认证功能并不影响其他域的认证或计费功能。缺省配置为
enable。

配置域的认证模式
每个域有两种认证模式：独立认证模式（independent）和主备认证模式
（primary-backup）。如果使用独立认证模式，当域中的主认证服务器发生故障时，
不把认证转移到域内的备用认证服务器上。如果使用主备认证模式，当域中的主认
证服务器发生故障时，设备自动将认证切换到备用认证服务器上。
配置域的认证模式使用以下配置命令：
config isp-domain <domain> authentication mode [independent|primary-backup]
在<domain>处输入要配置的域的域名。选择 independent 表示使用独立认证模式，
选择 primary-backup 表示使用主备认证模式。缺省的认证模式为 independent。
应当注意的是，若要配置域的认证模式为 primary-backup，需要首先使能 Radius 认

23-21
第 23 章 配置 RADIUS

证服务器的主备切换功能，也就是先做如下配置：
Harbour(config)# radius authentication server-switch enable

指定主认证服务器
config isp-domain <domain> authentication config-server id <id> type primary
使用上述命令可以指定其中一个认证服务器作为主认证服务器。默认情况下，以首
次添加的认证服务器作为主认证服务器。

配置域的认证方式
包括三种认证方式：PAP 认证、CHAP 认证、EAP-MD5 认证。系统默认为 EAP-MD5
认证。配置命令如下：
config isp-domain <domain> authentication type [pap|chap|eap-md5]

23.4.3 域的计费配置

向域中添加/删除计费服务器
config isp-domain <domain> accounting [add-server|delete-server] id <id>
add-server 表示向名为<domain>的域添加计费服务器，delete-server 表示从名为
<domain>的域中删除计费服务器。由于一个域可以包含多个计费服务器，因此需要
指定每个计费服务器的 ID 标识<id>。

启动/禁止域内的 Radius 计费功能

config isp-domain <domain> accounting [enable|disable]
默认为 enable。

配置计费服务器在域中的类型
config isp-domain <domain> accounting config-server id <id> type
[primary|multi|backup]
primay 表示把某个 Radius 计费服务器置为主计费服务器；
multi 表示把某个 Radius
服务器设置成其中一个计费服务器，若该计费服务器是主计费服务器，则保持不变，
因为主计费服务器也属于多个计费服务器中的一个计费服务器；backup 表示把域中
的某个 Radius 计费服务器设置成备份计费服务器，若该计费服务器是主计费服务

23-22
 第 23 章 配置 RADIUS

器，则选择第一个备份计费服务器作为主计费服务器。
在缺省情况下，系统将第一个添加的计费服务器作为主计费服务器，其他计费服务
器都为备份服务器。

配置域中 Radius 计费服务器的计费模式

config isp-domain <domain> accounting mode [independent|primary-backup|
multi]
默认为 independent。
独立计费模式(independent)是指当 Radius 主计费服务器出现故障的时候，交换机
不主动把计费信息发送到备用 Radius 计费服务器上；
主备计费模式(primary-backup)
是指当 Radius 主计费服务器出现故障的时候，交换机自动把计费切换到备用
Radius 计费服务器上；多服务器计费模式(multi)是指在交换机计费的时候，把一份
计费信息同时向多个 Radius 计费服务器发送。
应当注意的是，若要配置域的计费模式为 primary-backup，需要首先使能 Radius 计
费服务器的主备切换功能，也就是先做如下配置：
Harbour(config)# radius accounting server-switch enable

配置即时计费时间间隔
即时计费功能(Interim Update Accouting)是指在发送计费开始请求和计费结束请求
之间定期发送即时计费请求，以便将在线用户的计费信息定期发送到 Radius 计费
服务器。
配置即时计费请求的时间间隔，并打开发送功能，输入以下命令：
config isp-domain <domain> accounting interim-update-accounting interval
<10-65535>
关闭即时计费请求发送功能，输入以下命令：
config isp-domain <domain> accounting interim-update-accounting disable
默认为 disable（即间隔时间为 0）。

配置开始计费时是否等待用户获取 IP
接入服务支持与 DHCP Relay 功能相结合，DHCP Relay 在获得了 DHCP Server
传来的用户 IP 之后，会通知设备的 NAS 模块，从而可以通过相关命令察看到某用
户动态获得的 IP 地址；当用户主动 release 了自己的 IP 地址之后，我们也可以通

23-23
第 23 章 配置 RADIUS

过相关命令察看到该用户的 IP 为未知。如果 DHCP Relay 功能打开，并且用户是

自动获取 IP 的方式，那么可以配置在发送计费请求报文之前是否获得用户的 IP 地
址。
配置发送计费开始请求之前是否必须先得到用户 IP 地址，输入命令：
config isp-domain <domain> accounting start-need-ip [enable|disable]
参数 enable 表示认证通过之后一定要在得到 IP 地址以后再发计费请求，参数
disable 表示认证通过之后不必得到 IP 地址就可以发计费请求。默认为 disable。

配置交换机等待用户获取 IP 地址的最长时间：
如果设置为在认证通过之后一定要等到用户获得了 IP 地址再发送计费请求，那么需
要设置经过多长时间之后如果用户还没有得到 IP 地址，则根据超时机制切断该用户
的连接，配置命令如下：
config isp-domain <domain> accounting wait-ip <100-600>
参数<100-600>表示等待的时间，单位是秒，系统默认为等待 100 秒。

配置系统重新启动后是否向 Radius 服务器发送计费同步报文

如果 Radius 服务器支持计费同步报文，则当 NAS 因发生断电等意外情况而重新启
动时，会向域中允许发计费同步报文的所有 Radius 计费服务器发一个计费类型为
Accounting-On 的计费同步报文，Radius 服务器收到该报文后对该 NAS 下的所有
用户停止计费。命令格式如下：
config isp-domain <domain> accounting sync [enable|disable]
默认为 disable。

23.4.4 配置实例

在名为 harbour 的域中，设置在发送计费报文时需要用户的 IP 地址，等待用户端获

取 IP 地址的超时时间设为 180 秒，并且使用即时计费功能，计费间隔设为 180 秒。
配置步骤具体如下：

harbour(config)# service dhcpr enable

harbour(config)# config isp-domain harbour accounting start-need-ip enable
harbour(config)# config isp-domain harbour accounting wait-ip 180
harbour(config)# config isp-domain harbour accounting interim-update-
accounting interval 180

23-24
 第 23 章 配置 RADIUS

23.5 接入服务应用配置案例

23.5.1 单域认证

在交换机的接入服务系统中有一个默认的域 default，如果不使用多域功能，则不必
创建新的域，直接利用 default 域即可。以下我们将介绍实现单域认证的最小配置。
如下图所示，Hammer 交换机的端口 23 和端口 24 各连接一个 Radius 服务器，每
个服务器均具有认证和计费功能。

图23-1 单域认证网络图

配置步骤

步骤1 配置802.1x
步骤1.1 使能802.1x认证服务器
Harbour(config)# config dot1x enable

步骤1.2 将连接服务器的端口23和24的认证状态设为forceauth
Harbour(config)# config port 23-24 dot1x authcontrolledportcontrol
forceauth
步骤2 配置Radius
步骤2.1 增加两台认证计费服务器，每台服务器均具有认证计费功能。设IP地址为

23-25
第 23 章 配置 RADIUS

192.168.0.252的Radius Server（0）的ID为0，IP地址为192.168.0.253的
Radius Server（1）的ID为1。
Harbour(config)# radius authentication add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius authentication add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
步骤2.2 根据以上配置，由于Server（0）是首次添加的认证和计费服务器，因此Server
（0）既是主认证服务器，也是主计费服务器。也可以人为地将Server（1）指
定为主认证服务器或主计费服务器。设置主认证服务器的共享密钥是
“RADIUS-Authentication”
Harbour(config)# radius authentication config-server id 0
shared-secret RADIUS-Authentication
步骤2.3 使能Radius认证计费功能
Harbour(config)# radius authentication enable
Harbour(config)# radius accounting enable

23.5.2 多域认证

多域认证的 802.1x 及 Radius 配置与单域认证相同，不同的只是创建一些新的域，

并把 Radius 服务器分配到相应的域中。以下我们将介绍实现单域认证的最小配置。
如下图所示，图中的组网形式与图 23-1 相同，只是将两个服务器分别设在两个域
（domain1、domain2）中。

23-26
 第 23 章 配置 RADIUS

图23-2 多域认证网络图

配置步骤

步骤1 配置802.1x
步骤1.1 使能802.1x认证服务器
Harbour(config)# config dot1x enable

步骤1.2 将连接服务器的端口23和24的认证状态设为forceauth
Harbour(config)# config port 23-24 dot1x authcontrolledportcontrol
forceauth
步骤2 配置Radius
步骤2.1 增加两台认证计费服务器，每台服务器均具有认证计费功能。设IP地址为
192.168.0.252的Radius Server（0）的ID为0，IP地址为192.168.0.253的
Radius Server（1）的ID为1。
Harbour(config)# radius authentication add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius authentication add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
Harbour(config)# radius accounting add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
步骤2.2 根据以上配置，由于Server（0）是首次添加的认证和计费服务器，因此Server
（0）既是主认证服务器，也是主计费服务器。也可以人为地将Server（1）指
定为主认证服务器或主计费服务器。设置主认证服务器的共享密钥是

23-27
第 23 章 配置 RADIUS

“RADIUS-Authentication”
Harbour(config)# radius authentication config-server id 0
shared-secret RADIUS-Authentication
步骤2.3 使能Radius认证计费功能
Harbour(config)# radius authentication enable
Harbour(config)# radius accounting enable
步骤3 配置域
步骤3.1 创建两个域，domain1和domain2
Harbour(config)# create isp-domain domain1
Harbour(config)# create isp-domain domain2
步骤3.2 将两个Radius服务器分别添加到domain1和domain2中
Harbour(config)# config isp-domain domain1 authentication
add-server id 0
Harbour(config)# config isp-domain domain1 accounting add-server
id 0
Harbour(config)# config isp-domain domain2 authentication
add-server id 1
Harbour(config)# config isp-domain domain2 accounting add-server
id 1

根据上述配置，如果用户 user01 要在 Domain2 上通过认证，则需在客户端软件的

用户名处输入用户名 user02@Domain2。

23.5.3 服务器的主备切换

下面以认证服务器的主备切换为例，介绍一下 Radius 服务器主备切换的配置方法。

23-28
 第 23 章 配置 RADIUS

图23-3 配置认证服务器主备切换

如图 23-3 所示，两台 Radius 服务器在 domain1 域中均为认证服务器，其中，设

置 Server（0）为主认证服务器，Server（1）为备用认证服务器。要求在 domain1
域中实现两台服务器主备切换。

配置步骤

步骤1 配置802.1x
步骤1.1 使能802.1x认证服务器
Harbour(config)# config dot1x enable

步骤1.2 将连接服务器的端口23和24的认证状态设为forceauth
Harbour(config)# config port 23-24 dot1x authcontrolledportcontrol
forceauth
步骤2 配置Radius
步骤2.1 增加两台认证服务器，设IP地址为192.168.0.252的Radius Server（0）的ID
为0，IP地址为192.168.0.253的Radius Server（1）的ID为1。
Harbour(config)# radius authentication add-server id 0 server-ip
192.168.0.252 client-ip 192.168.0.2
Harbour(config)# radius authentication add-server id 1 server-ip
192.168.0.253 client-ip 192.168.0.2
步骤2.2 设置认证服务器的共享密钥是“RADIUS-Authentication”
Harbour(config)# radius authentication config-server id 0
shared-secret RADIUS-Authentication

23-29
第 23 章 配置 RADIUS

Harbour(config)# radius authentication config-server id 1

shared-secret RADIUS-Authentication
步骤2.3 使能Radius认证功能
Harbour(config)# radius authentication enable

步骤2.4 启动Radius认证服务器主备切换功能
Harbour(config)# radius authentication server-switch enable

步骤3 配置域
步骤3.1 创建域domain1
Harbour(config)# create isp-domain domain1

步骤3.2 将两个Radius服务器添加到domain1域中
Harbour(config)# config isp-domain domain1 authentication
add-server id 0
Harbour(config)# config isp-domain domain1 authentication
add-server id 1
步骤3.3 配置域的认证模式为primary-backup
Harbour(config)# config isp-domain domain1 authentication mode
primary-backup

23.5.4 基于802.1x的动态限速

配置步骤

步骤1 配置DHCP Relay

（略）
步骤2 设置上行端口，如端口24（注意：上行端口应与用户端口不在同一个VLAN）
Harbour(config)# config dot1x uplink-port 24

步骤3 启用L3限速功能
Harbour(config)# config dot1x access-limit route-engine rate

步骤4 配置接收带宽值的Radius属性。例如，使用26号厂商自定义属性携带Radius
服务器返回的上下行带宽信息，厂商定义的上行带宽为2，下行带宽为5，厂商
代码是1234
Harbour(config)# radius config-attribute access-bandwidth uplink
vendor-specific 2 1234
Harbour(config)# radius config-attribute access-bandwidth downlink
vendor-specific 5 1234
步骤5 查看配置结果
Harbour(config)# show radius custom-attributes
Attribute Attribute Type ValueType STD/VSA
VendorId
------------------- ---------------------------- ---------
Uplink-Bandwidth 2 integer VSA 1234
Downlink-Bandwidth 5 integer VSA 1234
Uplink-Priority 3 integer VSA

23-30
 第 23 章 配置 RADIUS

8212(harbour)
Downlink-Priority 4 integer VSA
8212(harbour)
Intra-Vid 5 integer VSA
8212(harbour)
Extra-Vid 6 integer VSA
8212(harbour)
FILTER-ID 7 integer VSA
8212(harbour)
harbour vlan ip 1 integer VSA
8212(harbour)
harbour vlan id 32 integer VSA
8212(harbour)
harbour path track 33 integer VSA
8212(harbour)
------------------- ---------------------------

Total 10 custom attributes shown

步骤6 Framed Protocol属性不需配置，默认每个认证和计费报文中都携带此属性，
属性值为PPP(1)。返回带宽值的单位默认为bps，可以配置成kbps。
显示带宽值的单位：
Harbour(config)# show radius config-attribute bandwidth-unit radius
access bandwidth unit is bps.
步骤7 若Radius服务器返回带宽的单位是kbps，则可用以下命令配置接收带宽的单位
也为kbps
Harbour(config)# radius config-attribute access-bandwidth unit kbps

步骤8 例如，若限制用户的上下行带宽都为512kbps，则从Radius服务器返回的带宽
值应为512，若设置成功将显示如下结果：
Harbour(config)#show customer-profile
Customer profile total: 2

NAME IN-BW VID PROTO SIPADDR DIPADDR SPORT

DPORT………（略）
d2560 512 0 NULL 0.0.0.0/0 11.0.0.110/32 0 0
u2560 512 0 NULL 11.0.0.110/32 0.0.0.0/0 0 0

23.6 命令参考

23.6.1 clear nas accounting-statistic

clear nas accounting-statistic

命令格式

命令功能 删除计费相关的统计信息。

命令模式 配置模式

show nas accounting-statistic

相关命令

23-31
第 23 章 配置 RADIUS

23.6.2 config isp-domain <domain>

dhcpr [add-server |delete-server]
<A.B.C.D>

config isp-domain <domain> dhcpr [add-server |delete-server] <A.B.C.D>

命令格式

命令功能 配置为指定域用户分配 IP 地址的 DHCP 服务器的 IP 地址。

命令模式 配置模式

参数说明 参数 说明
<domain> 域名
[add-server |delete-server] 增加或删除一个服务器配置
<A.B.C.D> DHCP服务器的IP地址

使用指导 由于该功能与 DHCP Relay 功能结合使用，所以，此处配置的 IP 地址可能

就是 DHCP Relay 功能设置的某个 target 的 IP 地址。

config isp-domain harbour dhcpr add-server 192.168.1.1

配置实例

service dhcpr [enable|disable]

相关命令
config isp-domain <domain> dhcpr gateway <A.B.C.D> vlan <vlanname>

23.6.3 config isp-domain <domain>

dhcpr gateway <A.B.C.D> vlan
<vlanname>

config isp-domain <domain> dhcpr gateway <A.B.C.D> vlan <vlanname>

命令格式

命令功能 配置指定域用户的 DHCP 网关 IP 地址及所属的 VLAN。

命令模式 配置模式

参数说明 参数 说明
<domain> 域名
<A.B.C.D> DHCP网关IP地址，该地址一般
是VLAN vlanname的子接口的
地 址 ， 当 然 ， 也 可 以 是 VLAN

23-32
 第 23 章 配置 RADIUS

vlanname本身的地址
<vlanname> VLAN名称

使用指导 该配置的目的就是创建一个用户域名与网关地址及所属 VLAN 的对应关

系，以克服 DHCP Relay 不能监听子接口的不足，从而实现在一个 VLAN
内的用户，可以根据认证时携带域名的不同，从一个 VLAN 内分配不同网
段的 IP 地址（该 VLAN 内各子接口的网段）。

create vlan user

配置实例 config vlan user ipaddress 192.168.0.1/24
create sub-interface sub1 vlan user
create sub-interface sub2 vlan user
config sub-interface sub1 ipaddress 192.168.1.1/24
config sub-interface sub1 ipaddress 192.168.2.1/24
config dhcpr listen add user
……
config isp-domain dom1 dhcpr gateway 192.168.1.1 vlan user
……
config isp-domain dom2 dhcpr gateway 192.168.1.1 vlan user

当用户使用域名“@dom1”从 VLAN user 的某个端口登录，则其将获得

192.168.1.0 网段的某个 IP 地址。
如果用户使用域名“@dom2”从 VLAN user 的某个端口登录，则其将获
得 192.168.2.0 网段的某个 IP 地址。

service dhcpr [enable|disable]

相关命令
config isp-domain <domain> dhcpr [add-server |delete-server] <A.B.C.D>
config isp-domain <domain> dhcpr gateway delete

23.6.4 config isp-domain <domain>

dhcpr gateway delete

config isp-domain <domain> dhcpr gateway delete

命令格式

命令功能 删除为指定域用户设置的 DHCP 网关地址。

命令模式 配置模式

参数说明 参数 说明
<domain> 域名

config isp-domain harbour dhcpr gateway delete

配置实例

23-33
第 23 章 配置 RADIUS

service dhcpr [enable|disable]

相关命令
config isp-domain <domain> dhcpr [add-server |delete-server] <A.B.C.D>
config isp-domain <domain> dhcpr gateway <A.B.C.D> vlan <vlanname>

23.6.5 config login-auth

[enable|disable]

config login-auth [enable|disable]

命令格式

命令功能 设置进入配置模式是否需要密码。

命令模式 配置模式

参数说明 参数 说明
[enable|disable] 是否需要密码

默认状态 默认为 disable，不需要密码。

23.6.6 config login-auth [local|radius]

config login-auth [local|radius]

命令格式

命令功能 配置使用本地还是远程 radius 认证。

命令模式 配置模式

参数说明 参数 说明
[local|radius] 本地认证或远程radius认证

默认状态 默认为 local，本地认证。

23.6.7 config login-radius domain

config login-radius domain <domain>

命令格式

命令功能 配置使用哪个域的 radius 服务器完成远程 radius 认证。

命令模式 配置模式

23-34
 第 23 章 配置 RADIUS

参数说明 参数 说明
<domain> 已创建的某个域的域名

23.6.8 config login-radius time

config login-radius time <1-600>

命令格式

命令功能 配置使用远程 radius 认证时的超时时间

命令模式 配置模式

参数说明 参数 说明 缺省配置
<1-600> 超时时间，单位：秒 16

23.6.9 radius config-attribute

agent-info default-value

radius config-attribute agent-info default-value

命令格式

命令功能 恢复 agent-info 的默认配置。

命令模式 配置模式

23.6.10 radius config-attribute

agent-info vendor-specific

radius config-attribute agent-info vendor-specific <VendorType>

命令格式 {<VendorId>}*1

命令功能 配置使用 26 号厂商定义属性传递用户使用 Internet Explore 代理的信息，

如代理服务器的 IP 地址及端口号等。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 25
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)

radius config-attribute agent-info default-value

相关命令

23-35
第 23 章 配置 RADIUS

23.6.11 radius config-attribute

dhcp-server default-value

radius config-attribute dhcp-server default-value

命令格式

命令功能 恢复 dhcp-server 的默认配置。

命令模式 配置模式

23.6.12 radius config-attribute

dhcp-server vendor-specific

radius config-attribute dhcp-server vendor-specific <VendorType>

命令格式 {<VendorId>}*1

命令功能 配置使用 26 号厂商定义属性传递为用户分配 IP 地址的 DHCP 服务器的 IP

地址信息。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 23
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)

radius config-attribute dhcp-server default-value

相关命令

23.6.13 radius config-attribute

gateway default-value

radius config-attribute gateway default-value

命令格式

命令功能 恢复 gateway 的默认配置。

命令模式 配置模式

23-36
 第 23 章 配置 RADIUS

23.6.14 radius config-attribute

gateway vendor-specific

radius config-attribute gateway vendor-specific <VendorType>

命令格式 {<VendorId>}*1

命令功能 配置使用 26 号厂商定义属性传递用户的网关地址信息。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 21
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)

radius config-attribute gateway default-value

相关命令

23.6.15 radius config-attribute

ie-agent default-value

radius config-attribute ie-agent default-value

命令格式

命令功能 恢复 ie-agent 的默认配置。

命令模式 配置模式

23.6.16 radius config-attribute

ie-agent vendor-specific

radius config-attribute ie-agent vendor-specific <VendorType>

命令格式 {<VendorId>}*1

命令功能 配置使用 26 号厂商定义属性传递用户是否使用了 Internet Explore 代理的

标志信息。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 24
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)

23-37
第 23 章 配置 RADIUS

radius config-attribute ie-agent default-value

相关命令

23.6.17 radius config-attribute

maclimit-base-info default-value

radius config-attribute maclimit-base-info default-value

命令格式

命令功能 恢复 maclimit-base-info 的默认配置。

命令模式 配置模式

23.6.18 radius config-attribute

maclimit-base-info vendor-specific

radius config-attribute maclimit-base-info vendor-specific

命令格式 <VendorType> {<VendorId>}*1

命令功能 配置使用 26 号厂商定义属性接收允许用户使用的合法 MAC 数量与非法

MAC 数量等信息。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 19
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)

radius config-attribute maclimit-base-info default-value

相关命令
radius config-attribute maclimit-punish-time vendor-specific
<VendorType> {<VendorId>}*1

23.6.19 radius config-attribute

maclimit-punish-time default-value

radius config-attribute maclimit-punish-time default-value

命令格式

命令功能 恢复 maclimit-punish-time 的默认配置。

命令模式 配置模式

23-38
 第 23 章 配置 RADIUS

23.6.20 radius config-attribute

maclimit-punish-time vendor-specific

radius config-attribute maclimit-punish-time vendor-specific

命令格式 <VendorType> {<VendorId>}*1

命令功能 配置使用 26 号厂商定义属性接收对用户非法使用网络的惩罚时间。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 20
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)

radius config-attribute maclimit-punish-time default-value

相关命令
radius config-attribute maclimit-base-info vendor-specific
<VendorType> {<VendorId>}*1

23.6.21 radius config-attribute

netmask default-value

radius config-attribute netmask default-value

命令格式

命令功能 恢复 netmask 的默认配置。

命令模式 配置模式

23.6.22 radius config-attribute

netmask vendor-specific

radius config-attribute netmask vendor-specific <VendorType>

命令格式 {<VendorId>}*1

命令功能 配置使用 26 号厂商定义属传递用户的网络掩码信息。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<Vendortype> 厂商自定义类型 22
<VendorId> SMI分配的厂商代码 8212(港湾网络有限公司)

23-39
第 23 章 配置 RADIUS

radius config-attribute netmask default-value

相关命令

23-40
 第 24 章 配置 VRRP

24 第24章 配置 VRRP

24.1 概述

目前指定缺省网关一般有两种方法，一种是使用如最短路径优先(OSPF)协议或路由
信息协议(RIP)等动态路由协议来确定正确的缺省网关。OSPF 和 RIP 能够绕过任意
故障点来选择最佳网关，但动态路由协议对终端系统的处理开销较大，且收敛过程
慢。另一种方法是使用静态配置的缺省网关来减少处理开销。但这种方法的风险是
使作为缺省网关的路由器成为单一故障点。对于一个主机来说，经常使用第二种方
法来实现默认网关配置。
VRRP（Virtual Router Redundancy Protocol）可避免静态指定网关的缺陷。通过
VRRP，一组路由器可以一起协同工作，共同组成一台虚拟路由器。该虚拟路由器
对外配有一个虚拟 IP 地址和 MAC 地址，
VRRP 从路由器组中选出一台作为 master，
负责转发数据包。当主路由器发生故障时，备份路由器会迅速接管主路由器，主机
不必改变缺省网关地址，且此过程对于终端系统是透明的。这样就提供了在故障发
生时更快、更有效地解决方法。
此外，该协议还可以在负载分担应用中发挥作用。例如，VRRP 可以使一台路由器
作为一个 IP 子网的主路由器，同时作为另一个子网的备份路由器。用这种方式配置
的两台路由器可以实现负载分担：每一台路由器都相互作为另一台路由器的冗余备
份路由器。VRRP 协议实现了局域网的冗余性和恢复性，提高了网络的高可靠性。

24.1.1 VRRP协议状态

参与 VRRP 协议的路由器有三种状态，当路由器以这些状态中的其中一种存在时，
它将执行该状态所需要进行的工作。这些 VRRP 状态如下：
初始状态
所有的路由器都是从初始状态开始，这只是个过渡状态。路由器处于此状态时表明
VRRP 还没有运行。
备份状态

24-1
第 24 章 配置 VRRP

处于该状态的路由器通过收发主路由器发来的数据包来监听主路由器的状态，并时
刻准备接管主路由器。
活跃状态
处于活跃状态的路由器称为主路由器，主路由器负责转发被发送到此 VRRP 组的虚
拟 MAC 地址的数据包。并且主路由器还向备份路由器发送周期性广播报文。在一
个 VRRP 组中必须有且只能有一台主路由器。

24.1.2 VRRP配置规则

在配置交换机的 VRRP 时，需要遵循一定的标准规范。配置规则如下：

虚拟路由器 ID
一个虚拟路由器由唯一的虚拟路由器标识号(VRID)确定，FlexHammer5000 系列共
支持 255 个虚拟路由器，VRID 的范围为 1-255。 VRID 缺省值为 1。
工作接口
虚拟路由器的工作接口和系统中的 interface 是对应的。
IP 地址
一个虚拟路由器可指定一个 IP 地址，虚拟路由器的 IP 地址和工作接口的 IP 地址应
该属于同一个 IP 网络。

24.2 配置VRRP

24.2.1 配置虚拟路由器的参数

运行 VRRP 协议，可以根据需要配置虚拟路由器的各种参数。其中必须配置的参数
有：
VRID，取值为 1－255，缺省是 1
IP 地址，和所在接口在同一网段
可调整的参数有：

优先级，缺省为 100
广播间隔，缺省为 1 秒
抢占模式，缺省为抢占模式
认证密码。

24-2
 第 24 章 配置 VRRP

名字，缺省为 HOS—VRRP

表24-1 虚拟路由器参数配置常用命令
vrrp ipaddress 配置虚拟路由器的VRID、IP地址并启动
vrrp priority 配置虚拟路由器的优先级
vrrp advertise-timer 配置虚拟路由器的广播间隔
vrrp preempt 配置虚拟路由器的抢占模式
vrrp authentication 配置虚拟路由器的认证密码
vrrp name 配置虚拟路由器的名字
vrrp track 配置备份组接口跟踪
vrrp pingtrack 配置VRRP的Ping Track

24.3 配置案例

案例描述
在交换机 A 和交换机 B 中，都存在名为 default 的 VLAN，在交换机 A 中，分配给
VLAN default 的 IP 地址是 10.1.20.10/24；在交换机 B 中，分配给 VLAN default
的 IP 地址是 10.1.20.30/24。主机的默认网关设为 10.1.20.30。

图24-1 VRRP 配置案例组网图

24-3
第 24 章 配置 VRRP

配置步骤
步骤1 在交换机A中，创建一个虚拟路由器1，分配一个IP地址10.1.20.30，工作接
口是default
Harbour(config)# interface default
Harbour(config-if)# vrrp ipaddress 10.1.20.30
Harbour(config-if)# exit
步骤2 在交换机B中，也创建一个虚拟路由器1，分配一个IP地址10.1.20.30，工作
接口是default
Harbour(config)# interface default
Harbour(config-if)# vrrp ipaddress 10.1.20.30
Harbour(config-if)# exit

对于在虚拟路由器 1，由于交换机 B 中工作接口地址与虚拟路由器 IP 地址一致，其

优先级自动设置为 255，交换机 B 成为主路由器，交换机 A 则成为备份路由器。
正常情况下，即当 VRRP 运行时。在虚拟路由器中，由主路由器负责转发发送到其
虚拟 MAC 地址上的数据包，并且定时向备份路由器发送 VRRP 包，这个广播间隔
可由用户来设置。
如果这个通告突然停止，备份路由器就会设置一个间隔定时器，如果还没有通告出
现，备份路由器就认为主路由器发生了故障，并且开启故障处理过程，接管主路由
器。因为主机的默认网关不变，所以这个接管过程对终端主机来说是透明的，这样
就为终端主机提供了不间断的服务。

24.4 命令参考

24.4.1 debug vrrp

debug vrrp
命令格式
no debug vrrp

命令功能 配置 vrrp 模块的 debug 功能。

命令模式 配置模式

show debug vrrp

相关命令

24.4.2 show debug vrrp

show debug vrrp

命令格式

24-4
 第 24 章 配置 VRRP

命令功能 显示 vrrp 模块 debug 配置状态。

命令模式 配置模式

debug vrrp
相关命令

24.4.3 show vrrp

show vrrp {<1-255>}*1

命令格式

命令功能 显示虚拟路由器的状态信息。

命令模式 配置模式、接口模式

参数说明 参数 说明
<1-255> VRID

使用指导 当不输入 VRID 域时，显示当前所有虚拟路由器的状态信息。如键入某个

VRID，则仅显示此虚拟路由器的状态信息。所显示的虚拟路由器信息包括
以下内容：
虚拟路由器名字
接口名称
路由器标示符（VRID）
路由器当前状态
IP 地址及掩码
优先级
广播间隔
抢占模式
虚拟 MAC 地址
认证方法
响应 arp 模式
Harbour(config-if)# show vrrp 1
配置实例 -------------------------Virtual Router
Information-------------------

Interface Name :a
Router Name :HOS_VRRP
Virtual ID :1
State :initiation
Priority :100
Preempt :on
Advertisement interval :1
Answer arp :off

24-5
第 24 章 配置 VRRP

Authentication :text
Password :HOS
Ip address :10.5.4.1/24
Virtual Mac address :00:00:5e:00:01:01

-------------------------Virtual Router Information

End--------------------

24.4.4 vrrp advertise-timer

vrrp {<1-255>}*1 advertise-timer <1-5>

命令格式
no vrrp {<1-255>}*1 advertise-timer

命令功能 配置虚拟路由器的广播间隔。
恢复虚拟路由器的报文发送间隔为缺省值 1。

命令模式 接口模式

参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<1-5> 广播间隔，单位：秒 1

配置实例 设置虚拟路由器 10 的广播间隔为 2 秒：

Harbour(config-if)# vrrp 10 advertise-timer 2

24.4.5 vrrp authentication

vrrp {<1-255>}*1 authentication <password>

命令格式
no vrrp {<1-255>}*1 authentication

命令功能 设置虚拟路由器的认证密码。
恢复虚拟路由器的缺省认证密码。

命令模式 接口模式

参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<password> 认证密码 空

使用指导 虚拟路由器的认证方法为简单的明文认证。认证密码最长为 8 个字符。

配置实例 配置虚拟路由器 10 的认证密码是 ABC：

Harbour(config-if)# vrrp 10 authentication ABC

24-6
 第 24 章 配置 VRRP

24.4.6 vrrp ipaddress

vrrp {<1-255>}*1 ipaddress <A.B.C.D>

命令格式

命令功能 配置虚拟路由器的 VRID、IP 地址并启动。

命令模式 接口模式

参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<A.B.C.D> 虚拟路由器的IP地址 ——

配置实例 创建一个 VRID 号是 10，在网段 11.1.20.30 的虚拟路由器，并启动：

Harbour(config-if)# vrrp 10 ipaddress 11.1.20.30

24.4.7 vrrp name

vrrp {<1-255>}*1 name <name>

命令格式
no vrrp {<1-255>}*1 name

命令功能 配置虚拟路由器的名字。
恢复虚拟路由器的缺省名字。

命令模式 接口模式

参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<name> 虚拟路由器的名字 HOS-VRRP

24.4.8 vrrp pingtrack

vrrp <1-255> pingtrack <trackname> <1-255>

命令格式
no vrrp <1-255> pingtrack <trackname>

命令功能 配置 VRRP 的 Ping Track。

删除 VRRP 的 Ping Track。

命令模式 配置模式

24-7
第 24 章 配置 VRRP

参数说明 参数 说明
第一个<1-255> vrrp virtual router ID
< trackname > ping track名称
第二个<1-255> 优先级数值

使用指导 关于 Ping Track 功能，请参考本手册“系统监控与

提示
诊断”章。

配置实例 在 VRRP Virtual Router (ID=1)上配置 Ping Track (pt0)：

Harbour(config)# vrrp 1 pingtrack pt0 15
删除 VRRP Virtual Router (ID=1)上的 Ping Track (pt0)：
Harbour(config)# no vrrp 1 pingtrack pt0

24.4.9 vrrp preempt

vrrp {<1-255>}*1 preempt [on|off]

命令格式

命令功能 配置虚拟路由器的抢占模式。

命令模式 接口模式

参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
[on|off] 允许/禁止抢占 on

使用指导 抢占模式是指是否允许优先级高的备份路由器取代低优先级的主路由器的
模式。

配置实例 设置虚拟路由器 10 的抢占模式为禁止抢占：

Harbour(config-if)# vrrp 10 preempt off

24.4.10 vrrp priority

vrrp {<1-255>}*1 priority <1-254>

命令格式
no vrrp {<1-255>}*1 priority

命令功能 配置虚拟路由器的优先级。
恢复虚拟路由器优先级的缺省值 100。

24-8
 第 24 章 配置 VRRP

命令模式 接口模式

参数说明 参数 说明 缺省配置
<1-255> 虚拟路由器的VRID 1
<1-254> 优先级 100

使用指导 0、255 为保留优先级值，不可配置。优先级数值越高，表示优先级越高。

255 为保留优先级值，工作接口所在地址与 IP 地址一致的路由器其优先级
自动设置为 255。当优先级为 0 时，表示主路由器将要释放其主动权给备
份路由器。

配置实例 设置虚拟路由器 10 的优先级为 120：

Harbour(config-if)# vrrp10 priority 120

24.4.11 vrrp track

vrrp {<1-255>}*1 track <IFNAME> {<1-255>}*1

命令格式

命令功能 配置备份组接口跟踪。

命令模式 接口模式

参数说明 参数 说明 缺省配置
第一个<1-255> VRRP组号 1
<IFNAME> 跟踪的端口名
第二个<1-255> 变化的优先级数值 10

使用指导 配置备份组接口跟踪后，VRRP 备份组的优先级可以根据交换机上其他接

口的状态进行变化。用户可以在接口模式下使用 TRACK 命令指定 VRRP
备份组优先级根据哪些接口的状态进行变化，当指定的接口 DOWN 时，
VRRP 备份组优先级减少一个数值，该数值用户可以指定。

VRRP 不能挂载 VRRP 所在的 interface track。

注意

24-9
 第 25 章 配置虚拟堆叠

25 第25章 配置虚拟堆叠

25.1 概述

堆叠技术是目前在以太网交换机上扩展端口使用较多的一种技术，是一种非标准技
术。各厂商不支持混合堆叠，堆叠模式为各厂商自行制定。它将一组相互连接在一
起的交换机当作一个整体来看待，实现系统的简易本地化集中管理，简化和方便整
体操作。目前流行的堆叠有两种主要形式：菊花链模式和星型模式：
菊花链模式是一种基于堆叠的技术，对交换机的硬件没有特殊的要求，通过相
对高速的端口串连和软件支持，最终构建一个多交换机的环状结构。
星型堆叠是一种高级堆叠技术，对交换机而言，需要提供一独立的高速交换中
心，所有主机通过高速堆叠端口连接到同一的堆叠中心。
系统支持菊花链和星型两种模式的虚拟堆叠。使用堆叠功能可以带来以下好处：
管理交换机不受空间的限制，它们可以都在本地也可以在远端，只要是在堆叠
管理 VLAN 二层网络能够到达的地方，就可以管理到。
节省资源，简化重复性的耗时工作。
节省 IP。
由于实现的是三层堆叠，存在虚 IP 的概念。默认情况下堆叠服务是打开的，并且系
统为每个交换机分配了一虚拟的 IP，系统默认的虚拟 IP 为 172.30.0.1/24 网段，如
果该网段同用户的所有网段不冲突的话，用户不必关心该网段；如果同用户的所用
网段冲突，用户可以通过手工的方式指定不冲突网段。目前的版本有些应用是基于
三层的，所以用户在操作时应先设置好路由，以确保交换机能同网管站连通。

25.2 命令参考

25.2.1 [start|stop] cluster

[start|stop] cluster
命令格式

25-1
第 25 章 配置虚拟堆叠

命令功能 启动或关闭虚拟堆叠功能。

命令模式 配置模式

参数说明 参数 说明
[start|stop] 启动或关闭

默认状态 虚拟堆叠默认情况下关闭。

25.2.2 cluster erase

cluster erase [<clusterlist>|all]

命令格式

命令功能 擦除堆叠系统中一组交换机的配置。

命令模式 配置模式

cluster save
相关命令

25.2.3 cluster reboot

cluster reboot [<clusterlist>|all]

命令格式

命令功能 重新启动堆叠系统中的一组交换机。

命令模式 配置模式

25.2.4 cluster save

cluster save [<clusterlist>|all]

命令格式

命令功能 保存堆叠系统中一组交换机的配置。

命令模式 配置模式

cluster erase
相关命令

25-2
 第 25 章 配置虚拟堆叠

25.2.5 config cluster commander

config cluster commander

命令格式

命令功能 配置堆叠系统的 commander。

命令模式 配置模式

使用指导 一个堆叠系统中只允许设置一台 commander。

25.2.6 config cluster member

config cluster member <1-7>

命令格式

命令功能 对堆叠系统中的一台交换机进行配置。

命令模式 配置模式

参数说明 参数 说明
<1-7> 堆叠组号

25.2.7 config cluster trap

config cluster trap version [v1|v2c] {community <string>}*1

命令格式
config cluster trap disable

命令功能 配置堆叠系统的 trap receiver。

取消堆叠系统的 trap receiver。

命令模式 配置模式

show cluster snmp trap

相关命令

25.2.8 cluster download ftp

cluster download ftp [hammeros|config-file] <A.B.C.D> <username>

命令格式 <password> <filename> [<clusterlist>|all]

命令功能 通过 FTP 协议对堆叠系统中的一组交换机进行升级。

25-3
第 25 章 配置虚拟堆叠

命令模式 配置模式

参数说明 参数 说明
[hammeros|config-file] 指定升级HammerOS或配置文件
<A.B.C.D> FTP服务器的IP

25.2.9 show cluster

show cluster
命令格式

命令功能 查看堆叠成员信息。

命令模式 配置模式

使用指导 显示的堆叠成员信息中，ID 为 0 的是 Commander switch，其余为 Member

switch。

Harbour(config)#show cluster
配置实例
The system is commander,stack cluster information...........
-------------------------------------------------------------------
|ID |duty |deviceType |stackPort |macAddress |
-------------------------------------------------------------------
|0 | commander| FlexHammer5010 |0 | 00-05-3b-00-04-91 |
-------------------------------------------------------------------
|1 | member | FlexHammer5010 |6 | 00-05-3b-00-38-99 |
-------------------------------------------------------------------
|2 | member | FlexHammer5010 |6 | 00-05-3b-58-00-52 |
……

25.2.10 show cluster snmp trap

show cluster snmp trap

命令格式

命令功能 查看堆叠系统的 trap 配置。

命令模式 配置模式

25-4
 第 26 章 配置芯片复位

26 第26章 配置芯片复位

26.1 命令参考

26.1.1 config device extern-buffer

[enable | disable]

config device extern-buffer [enable | disable]

命令格式

命令功能 增加对于转发芯片使用的外部报文缓存的控制，可以通过这个命令使能和
关闭对于外部报文缓存的使用。

命令模式 配置模式

参数说明 参数 说明
[enable | disable] 使能或关闭报文外部缓存功能

默认状态 使能报文外部缓存功能。

使用指导 当外部报文缓存使用的内存器件出现问题后，如果仍然使用的话可能会给
转发芯片的功能造成影响，这个时候可以通过这个命令关闭掉外部缓存的
使用，这样对于吞吐量会有一些降低，但是报文处理的时延可以变短，而
且避免了外部缓存器件错误造成的影响。
关闭外部报文缓存后，交换机的吞吐量会有所下降，需要
在确定报文外部缓存存在问题时使用这个命令关闭外部报
注意 文缓存。

26.1.2 config device recover mode

interrupt [reset|analyses|disable]

config device recover mode interrupt [reset|analyses|disable]

命令格式

命令功能 配置对于转发芯片中断上报的芯片内部错误的处理方式。

26-1
第 26 章 配置芯片复位

命令模式 配置模式

参数说明 参数 说明
reset 收到任何芯片中断上报的错误，就直接复位芯片
analyses 收到上报的错误后，对芯片进行发包分析，如果发包不正
常了，则复位芯片，否则不作任何处理
disable 不作任何处理

默认状态 disable，不作任何处理。

使用指导 转发芯片在处理报文的时候，在一些极端情况下会出现一些错误，这些错
误可以通过中断的方式上报给 CPU 处理。目前提供了三种的处理方式: 1、
忽略上报的错误，CPU 只作统计，没有采取措施；2、由于芯片内部处理
出错后可能会导致一些不可知的后果，为了消除这些影响，可以复位芯片；
3、为了减少复位的可能性，可以在收到错误报告了，对芯片进行深一步的
分析，如果分析表明芯片工作不再正常，则可以复位芯片。
有的芯片错误的影响可能会在一段时间以后才能显现出
来，这个时候 analyses 方式就很难检测到这种潜在的影
注意 响。遇上这种情况，需要使用 reset 方式来代替。

26.1.3 config device recover mode poll

[enable|disable]

config device recover mode poll [enable|disable]

命令格式

命令功能 上面的中断芯片恢复模式，有时候芯片可能碰到一些未知的错误，从而导
致这些错误没有上报给软件；但是这些错误又可能造成芯片转发不正常。
为了弥补中断恢复模式的这种不足，增加了轮询的恢复模式。在这种模式
下，CPU 会定期检测芯片的转发正常情况，如果检测到转发出现问题，则
系统会采取复位芯片的动作。缺省为关闭轮询模式。

命令模式 配置模式

参数说明 参数 说明
enable 使能轮询监控芯片的功能
disable 关闭轮询监控芯片的功能

默认状态 disable，关闭轮询监控芯片的功能

26-2
 第 26 章 配置芯片复位

使用指导
在轮询监控芯片的功能打开后，CPU 会定期发出报文检测
芯片的转发情况。这些报文的内容并没有实质性意义。
注意

26.1.4 config device recover mode poll

interval <1-600>

config device recover mode poll interval <1-600>

命令格式

命令功能 对应上面的 config 命令的中的轮询时间间隔参数的配置命令。该命令用来

配置 CPU 多长时间执行一次检查操作。

命令模式 配置模式

参数说明 参数 说明 缺省配置
<1-600> 轮询的时间间隔，单位：秒 10

使用指导
建议不要进行修改该缺省值。
注意

26.1.5 config device recover mode poll

port [all|one]

config device recover mode poll port [all|one]

命令格式

命令功能 轮询检查是通过从 CPU 向端口发包进行检查的，该命令提供了对于端口的

两种选择。一是 all，表示每次都检查所有 linkup 的端口，也就是说会向所
有 linkup 的端口发包进行检查发包的正确性；二是 one，表示只向一个端
口发包进行检查，这个内部设定的端口是一个有代表性的端口，一般情况
下流量最大，出现错误的几率较大。

命令模式 配置模式

参数说明 参数 说明
all 选择向所有linkup的端口发包检查
one 选择只向一个内部设定的端口发包进行检查

26-3
第 26 章 配置芯片复位

使用指导
在选择向所有端口发包进行检查的情况下，会占用较多的
CPU 资源，但是不会对业务的正常运行造成影响。
注意

26.1.6 show device recover

configuration

show device recover configuration

命令格式

命令功能 查看系统中关于芯片恢复的所有配置情况。

命令模式 配置模式

26-4